Wer Zertifikate zum Signieren von E-Mails oder PDF-Dokumenten bezieht, muss ggf. aufpassen, dass er auch die richtigen Zertifikate ordert. Ein Mediziner hat sich im Nachgang zu aktuellen Berichten über zurückgezogene Zertifikate gemeldet und eigene Erfahrungen mit einem D-Trust-Zertifikat berichtet. Er wollte das Zertifikat zum Signieren von E-Mails und PDF-Dokumenten verwenden, stellte aber fest, dass der Adobe Reader D-Trust ablehnt. Ich stelle die Information mal hier im Blog ein, vielleicht verhindert es, dass weitere Leute auf ungeeignete Signatur-Zertifikate hereinfallen. Verbunden ist dies mit der Frage, wie ihr das bei euch löst – oder ist das exotischer Einzelfall und dumm gelaufen?
Momentan kommt ja das Thema Zertifikate, ausgestellt von D-Trust, und dann kurzfristig zurückgerufen, öfters im Blog vor. Anfang April 2026 wurde von D-Trust arg kurzfristig – über Ostern, ein TLS-Zertifikat zurückgerufen (siehe meinen Blog-Beitrag D-Trust verlangt bis 6.4.2026 (Ostermontag) Zertifikatsausstausch. Gestern berichtete ich, dass D-Trust am 8. Mai 2026 S/MIME-Zertifikate zurückzieht (siehe D-Trust zieht am 8. Mai 2026 S/MIME-Zertifikate zurück). Aber immerhin können die Zertifikatsbesitzer diese beim zum Widerruf nutzen. Es lauern aber noch andere Fallen in Form von ungeeigneten Zertifikaten.
Rückmeldung aus der Ärzteschaft
Im Nachgang zu meinen Blog-Beiträgen (muss wohl dieser Beitrag SSL.com rotiert Root-Zertifikate am 5.5.2026; es hat bei der Denic gerumpelt gewesen sein), ist mir noch eine E-Mail eines Mediziners zugegangen. Der Blog-Leser schrieb, das es nicht nur Probleme bei SSL.com wegen Zertifikatsrückruf, wie im Blog beschrieben, gebe, sondern auch bei D-Trust gäbe es Probleme.
Ungeeignetes Zertifikat bestellt
Der Leser hatte über PSW ein D-Trust-Zertifikat, Class 2, erworben, mit dem man nicht nur E-Mails, sondern auch PDF-Dokumente signieren kann. Als Arzt ist der Leser mit D-Trust vertraut, weil dort auch Heilberufsausweise ausgestellt werden. Da ist es naheliegend, auch Zertifikate zum Signieren und Verschlüsseln von E-Mails und PDF-Dokumenten bei diesem Anbieter zu ordern.
Der Vorgang, um das D-Trust-Zertifikat, Class 2, verwenden zu können, ist laut einer mir vorliegenden E-Mail schon aufwändig.
- Erste E-Mail: Der Validierungslink in der ersten E-Mail ist nur 24 Stunden gültig und validiert die E-Mail-Adresse, die abgesichert werden soll.
- Zweite E-Mail: Der Validierungslink in der zweiten E-Mail ist 30 Tage gültig. Erst nach erfolgreicher Bestätigung, der ersten E-Mail, wird die zweite E-Mail versendet. Diese validiert Sie als Person über das eID-Verfahren Ihres Personalausweises.
Wenn diese beiden Hürden überwunden sind, kann das Zertifikat eingesetzt werden. Doch die Freude über das schöne D-TRUST-Zertifikat währte laut Leser nur wenige Tage.
Adobe Acrobat lehnt D-Trust-Zertifikat ab
Bei Verwendung der D-Trust Class 2 Zertifikate zum Signieren und Verschlüsseln von E-Mails gibt es keine Probleme. Der Leser ist aber, so meine Interpretation, in das Problem gelaufen, dass das Zertifikat beim Signieren von Adobe PDF-Dokumente im Adobe Reader abgelehnt wurde.
Der Leser hat mich auf eine KI-Zusammenfassung von Google Gemini verwiesen, die einige Erklärungsversuche bietet. Es sieht so aus, dass D-Trust nicht mehr in der AATL (Adobe Approved Trust List) enthalten ist. Ob dies (wegen der oben angerissenen Vorfälle) temporär oder dauerhaft der Fall ist, bleibt unklar.
Preisgünstige Lösung für PDF-Signaturen
Der Leser schrieb mir: "Falls jemand eine preisgünstige Lösung zur Signierung von PDF-Dokumenten sucht, wird er beim europäischem Anbieter Skribble fündig".
Für Einzelunternehmer wird "Starter" wahrscheinlich hinreichend sein, meine der Blog-Leser und verwies noch auf die Preisstruktur. Dort bekommt man das Zertifikat kostenlos und bezahlt dann pro Signaturvorgang.
Was verwendet ihr für Zertifikate?
Wie sieht es bei euch in der Leserschaft aus? Verwendet ihr Zertifikate zum Signieren und Verschlüsseln von E-Mails und zum Signieren von PDF-Dokumenten? Falls ja, welche Zertifikate werden eingesetzt und was kosten die?
Gerade im Rechnungsversand per E-Mail lauern für Unternehmer juristische Fallen, wie ich im Blog-Beitrag Betrug mit manipulierten Rechnungen: Ein neuer Fall / ein neuer Trend aufgezeigt habe. Gerichte fordern eine digitale Signatur der PDF-Rechnung, wenn Haftungen durch Rechnungsfälschungen auf dem Übermittlungsweg durch den Rechnungsversender ausgeschlossen werden sollen. Zum Blog-Beitrag gibt es ja entsprechende Diskussionen. Und mit der verpflichtenden elektronischen Rechnung im B2B-Bereich wir der Rechnungsaustausch per E-Mail zunehmen. Eine Abhandlung eines Juristen zu den vielen komplexen Fragestellungen findet sich auf anwalt.de.
MVP: 2013 – 2016
D-Trust S/MIME Zertifikate konnten bislang auch zum Signieren von PDFs verwendet werden. Dass das eingestellt werden wird (dauerhaft), wurde von PSW bereits erstmals im August 2024 kommuniziert. Das ist die älteste uns dazu vorliegende E-Mail.
Im Bestellvorgang können Funktionen der Zertifikate eingesehen werden. Wenn man nun das "falsche" Zertifikat bestellt hat, liegt das Versäumnis eher beim Besteller. Das Thema der Zertifikate und deren Varianten ist auch recht komplex.
PSW bietet einen guten Support an, der genau solche Fragestellung vorab klären kann. Zudem sind die meisten Zertifikate auch stornierbar.
Gibt diverse einsetzbare Varianten (https://www.psw-group.de/esigning/), hängt jedoch sehr vom Anwendungsfall ab.
Wir nutzen derzeit noch D-Trust S/MIME für Mail und PDFs.