{"id":323380,"date":"2026-04-04T22:52:49","date_gmt":"2026-04-04T20:52:49","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=323380"},"modified":"2026-04-05T11:01:57","modified_gmt":"2026-04-05T09:01:57","slug":"faules-ei-d-trust-verlangt-bis-6-4-2026-ostermontag-zertifikatsausstausch","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/04\/04\/faules-ei-d-trust-verlangt-bis-6-4-2026-ostermontag-zertifikatsausstausch\/","title":{"rendered":"D-Trust verlangt bis 6.4.2026 (Ostermontag) Zertifikatsausstausch"},"content":{"rendered":"

\"SicherheitOstern gibt es Eier als \u00dcberraschung; von D-Trust, einer Tochter der Bundesdruckerei gibt es eine \u00dcberraschung dre anderen Art (k\u00f6nnte man als faules Ei ansehen, da die Problematik seit dem 15. M\u00e4rz 2026 bekannt ist). Unsch\u00f6n dabei: Administratoren, die D-Trust TLS-Zertifikate\u00a0 auf Websites oder anderswo einsetzen, m\u00fcssen diese bis Ostermontag, den 6. April 2026, 17:00 Uhr austauschen. Es handelt sich um einen kurzfristigen R\u00fcckruf neu ausgegebener TLS-Zertifikate.<\/p>\n


\nWer ist D-Trust?<\/h2>\n

\"\"Wie bereits oben hingewiesen, ist die D<\/em>–Trust<\/em> GmbH ein Unternehmen der Bundesdruckerei-Gruppe und fungiert als ein zertifizierter Vertrauensdiensteanbieter. Das Unternehmen bietet laut Webseite rechtssichere und zertifizierte Vertrauensdienste wie digitale Zertifikate und elektronische Signaturen sowie L\u00f6sungen zum sicheren Datenmanagement wie Datentreuh\u00e4nder-Plattformen an.<\/p>\n

\"D-Trust\"<\/p>\n

Obiger Screenshot zeigt, dass die D-Trust GmbH stark im Gesch\u00e4ft ist, und mit dem virtuellen Institutionsausweis in Kliniken und Praxen, aber auch mit dem Austausch des elektronischen Heilberufsausweis (eHBA) f\u00fcr \u00c4rzte und Therapeuten befasst ist (l\u00e4uft zum 30.6.2026 ab).<\/p>\n

D-Trust und BSI informieren \u00fcber Zertifikatsaustausch<\/h2>\n

Es w\u00e4re an mir vorbei gegangen, aber Blog-Leser haben mich auf den Sachverhalt und diesen heise-Artikel<\/a> zum Thema hingewiesen. D-Trust scheint ein Fehler bei der Ausstellung von TLS-Zertifikaten f\u00fcr Webseiten passiert zu sein. Gem\u00e4\u00df Einblendung auf der D-Trust-Webseite<\/a> werden kurzfristig TLS-Zertifikate zur\u00fcckgerufen.<\/p>\n

\"D-Trust<\/p>\n

Betroffen sind TLS-Website-Zertifikate, die von der D-Trust GmbH zwischen dem 15.03.2025 und dem 02.04.2026, 10:45 Uhr ausgestellt wurden. Diese Zertifikate verlieren bereits am Montag, 06.04.2026, 17:00 Uhr, ihre G\u00fcltigkeit und sind ab diesem Zeitpunkt nicht mehr einsetzbar! Betroffene Administratoren m\u00fcssen neue TLS-Zertifikate beantragen und dann ihre Systeme aktualisieren.<\/p>\n

Auch das BSI hat zum 4. April 2026 eine\u00a0Pressemitteilung<\/a> herausgegeben, in der das Bundesamt f\u00fcr Sicherheit in der Informationstechnik\u00a0alle Kunden der D-Trust GmbH dazu aufruft, schnellstm\u00f6glich neue Zertifikate f\u00fcr alle Dienste zu beantragen, die mit den betroffenen D-Trust-Zertifikaten abgesichert werden. Neben Webseiten k\u00f6nnen hier auch weitere Dienste wie zum Beispiel MDM-Verbindungen einen Zertifikatsaustausch erfordern.<\/p>\n

Erg\u00e4nzung:<\/strong> Ich habe es initial nicht erw\u00e4hnt, dachte es liegt an meinem Chromium-Browser, den ich einige Tage nicht mehr aktualisiert habe. Die Webseiten des BSI wurden mir heute Nacht beim Schreiben des Beitrags im Chromium als \"nicht sicher\"\u00a0 verweigert. Ein Edge in einer VM konnte die Seite anzeigen. Der Firefox auf meinem Produktivsystem auch. Nachdem ein Kommentar das unten auch andeutet, habe ich die Erg\u00e4nzung mal aufgenommen. Muss ich das bereits so interpretieren, dass die BSI TLS-Zertifikate bereits ausgetauscht wurden?<\/p><\/blockquote>\n

Im Zuge dieser kurzfristig seitens der D-Trust GmbH erfolgten Ma\u00dfnahme kann es w\u00e4hrend des Austauschs zu tempor\u00e4ren Ausf\u00e4llen zahlreicher Websites kommen – auch Institutionen der Bundesverwaltung sind betroffen. Die Ma\u00dfnahme und in der Folge gegebenenfalls tempor\u00e4r auftretende Ausf\u00e4lle stehen jedoch nicht im Zusammenhang mit einem Cyberangriff, stellt das BSI klar.<\/p>\n

Hintergrund des Schlamassels<\/h2>\n

Bei Bugzilla gibt es einen Eintrag\u00a0D-Trust: TLS Precertificates Exceeding the Maximum Validity Period Allowed by the TLS Baseline Requirements<\/a>, der nach meiner Z\u00e4hlweise am 15. M\u00e4rz 2026 entdeckt wurde. Dort hei\u00dft es, dass die D-Trust festgestellt habe, dass 19 TLS-Pre-Zertifikate mit einer G\u00fcltigkeitsdauer ausgestellt wurden, die die in den TLS-Baseline-Anforderungen festgelegte maximale G\u00fcltigkeitsdauer von 200 Tagen \u00fcberschreitet.<\/p>\n

Das Problem wurde eine Weile diskutiert und dann wohl von D-Trust so am 1. April 2026 behoben. Die zwischenzeitlich ausgestellten TLS-Zertifikate m\u00fcssen dann binnen f\u00fcnf Tagen verworfen werden (daher der 1. April, oben im Screenshot sagt D-Trust 2.4.2026, was bei 5 Tagen den 7.4.2026 f\u00fcr den Zertifikatswechsel bedeutet h\u00e4tte). Von daher verstehe ich den 6.4.2026 als Ablaufdatum nicht. Doppelt doof ist halt, dass das Auslaufdatum in Deutschland auch noch ein Feiertag ist.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ostern gibt es Eier als \u00dcberraschung; von D-Trust, einer Tochter der Bundesdruckerei gibt es eine \u00dcberraschung dre anderen Art (k\u00f6nnte man als faules Ei ansehen, da die Problematik seit dem 15. M\u00e4rz 2026 bekannt ist). Unsch\u00f6n dabei: Administratoren, die D-Trust … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328,4013],"class_list":["post-323380","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit","tag-zertifikat"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323380","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=323380"}],"version-history":[{"count":9,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323380\/revisions"}],"predecessor-version":[{"id":323392,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323380\/revisions\/323392"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=323380"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=323380"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=323380"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}