**Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH**
-
Als BSI rufen wir daher alle Kunden der D-Trust GmbH dazu auf, schnellstmöglich neue Zertifikate für alle Dienste zu beantragen, die mit den betroffenen D-Trust-Zertifikaten abgesichert werden. Neben Webseiten können hier auch weitere Dienste wie zum Beispiel MDM-Verbindungen einen Zertifikatsaustausch erfordern.
[2/x]
Im Zuge dieser kurzfristig seitens der D-Trust GmbH erfolgten Maßnahme kann es während des Austauschs zu temporären Ausfällen zahlreicher Websites kommen - auch Institutionen der Bundesverwaltung sind betroffen. Die Maßnahme und in der Folge gegebenenfalls temporär auftretende Ausfälle stehen jedoch nicht im Zusammenhang mit einem Cyberangriff.
[3/4]
-
Im Zuge dieser kurzfristig seitens der D-Trust GmbH erfolgten Maßnahme kann es während des Austauschs zu temporären Ausfällen zahlreicher Websites kommen - auch Institutionen der Bundesverwaltung sind betroffen. Die Maßnahme und in der Folge gegebenenfalls temporär auftretende Ausfälle stehen jedoch nicht im Zusammenhang mit einem Cyberangriff.
[3/4]
Die D-Trust GmbH hat ihren Kunden Informationen zum Zertifkatstausch bereitgestellt, die nun unmittelbar beachtet und umgesetzt werden müssen, Weitere Informationen sind zudem unter https://www.d-trust.net/de verfügbar.
[4/4]
-
**Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH**
Die D-Trust GmbH tauscht kurzfristig TLS-Website-Zertifikate aus, die zwischen dem 15.03.2025 und dem 02.04.2026, 10:45 Uhr, ausgestellt wurden. Diese Zertifikate verlieren bereits am Montag, 06.04.2026, 17:00 Uhr, ihre Gültigkeit und sind ab diesem Zeitpunkt nicht mehr einsetzbar! [1/x]
@bsi Das sollte sein: https://bugzilla.mozilla.org/show_bug.cgi?id=2029013
-
**Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH**
Die D-Trust GmbH tauscht kurzfristig TLS-Website-Zertifikate aus, die zwischen dem 15.03.2025 und dem 02.04.2026, 10:45 Uhr, ausgestellt wurden. Diese Zertifikate verlieren bereits am Montag, 06.04.2026, 17:00 Uhr, ihre Gültigkeit und sind ab diesem Zeitpunkt nicht mehr einsetzbar! [1/x]
@bsi Am Feiertag? Sind die noch ganz dicht, ey?
-
@bsi Das sollte sein: https://bugzilla.mozilla.org/show_bug.cgi?id=2029013
-
Die D-Trust GmbH hat ihren Kunden Informationen zum Zertifkatstausch bereitgestellt, die nun unmittelbar beachtet und umgesetzt werden müssen, Weitere Informationen sind zudem unter https://www.d-trust.net/de verfügbar.
[4/4]
@bsi
Darf man fragen, was Auslöser für diese Maßnahme und vor Allem die drastische Einschränkung der Gültigkeit aller kürzlich erst ausgestellten Zertifikate war?
Auf der D-Trust-Website klingt die Begründung harmlos wie eine reguläre Wartungsmaßnahme.
Wegen einer Solchen würde man aber nicht die Gültigkeit plötzlich auf wenige Tage beschränken.
Gleichzeitig wird behauptet, alle Zertifikate seien zu jedem Zeitpunkt sicher. Aber warum müssen sie dann so plötzlich so dringend ersetzt werden??? -
@bsi
Darf man fragen, was Auslöser für diese Maßnahme und vor Allem die drastische Einschränkung der Gültigkeit aller kürzlich erst ausgestellten Zertifikate war?
Auf der D-Trust-Website klingt die Begründung harmlos wie eine reguläre Wartungsmaßnahme.
Wegen einer Solchen würde man aber nicht die Gültigkeit plötzlich auf wenige Tage beschränken.
Gleichzeitig wird behauptet, alle Zertifikate seien zu jedem Zeitpunkt sicher. Aber warum müssen sie dann so plötzlich so dringend ersetzt werden??? -
**Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH**
Die D-Trust GmbH tauscht kurzfristig TLS-Website-Zertifikate aus, die zwischen dem 15.03.2025 und dem 02.04.2026, 10:45 Uhr, ausgestellt wurden. Diese Zertifikate verlieren bereits am Montag, 06.04.2026, 17:00 Uhr, ihre Gültigkeit und sind ab diesem Zeitpunkt nicht mehr einsetzbar! [1/x]
@bsi Danke für den Hinweis und schön zu sehen das ihr euer D-Trust Zertifikat gestern zeitnah erneuert habt.
Die ausstellende CA ist leider nicht in allen Root Stores vorhanden / von allen Root Store Programmen als vertrauenswürdig anerkannt.Bspw. erscheinen für Nutzende von Apple Geräten eure Webseiten nun als nicht mehr vertrauenswürdig.
Ist das so gewollt?
-
@bsi Danke für den Hinweis und schön zu sehen das ihr euer D-Trust Zertifikat gestern zeitnah erneuert habt.
Die ausstellende CA ist leider nicht in allen Root Stores vorhanden / von allen Root Store Programmen als vertrauenswürdig anerkannt.Bspw. erscheinen für Nutzende von Apple Geräten eure Webseiten nun als nicht mehr vertrauenswürdig.
Ist das so gewollt?
-
-
@satmd @bsi Das da offenbar: https://bugzilla.mozilla.org/show_bug.cgi?id=2029013
-
**Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH**
Die D-Trust GmbH tauscht kurzfristig TLS-Website-Zertifikate aus, die zwischen dem 15.03.2025 und dem 02.04.2026, 10:45 Uhr, ausgestellt wurden. Diese Zertifikate verlieren bereits am Montag, 06.04.2026, 17:00 Uhr, ihre Gültigkeit und sind ab diesem Zeitpunkt nicht mehr einsetzbar! [1/x]
@bsi
Vielleicht war die Idee beim #Faxgerät zu bleiben doch adäquater für den deutschen Staat als dieses neuländische Internet?
Oder hat das was mit den Beschlüssen innerhalb des CA/Browser-Forums zu tun? Unverständlich das nicht mal ein Hinweis auf die Gründe genannt wird, ganz auf Regierungslinie da beim @bsi? -
@bsi
Darf man fragen, was Auslöser für diese Maßnahme und vor Allem die drastische Einschränkung der Gültigkeit aller kürzlich erst ausgestellten Zertifikate war?
Auf der D-Trust-Website klingt die Begründung harmlos wie eine reguläre Wartungsmaßnahme.
Wegen einer Solchen würde man aber nicht die Gültigkeit plötzlich auf wenige Tage beschränken.
Gleichzeitig wird behauptet, alle Zertifikate seien zu jedem Zeitpunkt sicher. Aber warum müssen sie dann so plötzlich so dringend ersetzt werden??? -
@bsi
Halten wir fest:
Sicher ist im Moment nur, dass die betroffenen Zertifikate von D-Trust NICHT sicher sind! -
**Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH**
Die D-Trust GmbH tauscht kurzfristig TLS-Website-Zertifikate aus, die zwischen dem 15.03.2025 und dem 02.04.2026, 10:45 Uhr, ausgestellt wurden. Diese Zertifikate verlieren bereits am Montag, 06.04.2026, 17:00 Uhr, ihre Gültigkeit und sind ab diesem Zeitpunkt nicht mehr einsetzbar! [1/x]
@bsi
D-Trust GmbH klingt so kartoffelig, dass es wehtut -
Im Zuge dieser kurzfristig seitens der D-Trust GmbH erfolgten Maßnahme kann es während des Austauschs zu temporären Ausfällen zahlreicher Websites kommen - auch Institutionen der Bundesverwaltung sind betroffen. Die Maßnahme und in der Folge gegebenenfalls temporär auftretende Ausfälle stehen jedoch nicht im Zusammenhang mit einem Cyberangriff.
[3/4]
@bsi@social.bund.de
Nicht, kein Cyberangriff, diese Aussage lässt vieles zu was genau so ungeschickt sein könnte.
Also "Butter bei de Fische“. -
@bsi
Darf man fragen, was Auslöser für diese Maßnahme und vor Allem die drastische Einschränkung der Gültigkeit aller kürzlich erst ausgestellten Zertifikate war?
Auf der D-Trust-Website klingt die Begründung harmlos wie eine reguläre Wartungsmaßnahme.
Wegen einer Solchen würde man aber nicht die Gültigkeit plötzlich auf wenige Tage beschränken.
Gleichzeitig wird behauptet, alle Zertifikate seien zu jedem Zeitpunkt sicher. Aber warum müssen sie dann so plötzlich so dringend ersetzt werden???@isf @bsi https://heise.de/-11245930
Kurzfassung: Sie haben Dinge anders interpretiert, als es üblich ist. Deutsche Behörde eben.. -
@isf @bsi https://heise.de/-11245930
Kurzfassung: Sie haben Dinge anders interpretiert, als es üblich ist. Deutsche Behörde eben..@miller @bsi
Also entweder ist die Sicherheit der betroffenen Zertifikate sehr wohl tangiert, oder diese Blitzaktion mit all ihren absehbar gravierenden Folgen ist nicht gerechtfertigt. Sollte Letzteres zutreffen, dürfte über Schadenersatz noch zu reden sein.
Sollte Ersteres zutreffen, so verbreitet D-Trust auf der eigenen Website eine gefährliche Desinformation.
Beides ist nicht akzeptabel.
Bin bisher kein D-Trust-Kunde, und möglicherweise werde ich es auch nicht... -
**Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH**
Die D-Trust GmbH tauscht kurzfristig TLS-Website-Zertifikate aus, die zwischen dem 15.03.2025 und dem 02.04.2026, 10:45 Uhr, ausgestellt wurden. Diese Zertifikate verlieren bereits am Montag, 06.04.2026, 17:00 Uhr, ihre Gültigkeit und sind ab diesem Zeitpunkt nicht mehr einsetzbar! [1/x]
Das klingt nach einem sehr schweren Sicherheitsvorfall. Dass das nicht der Fall ist, ist unglaubwürdig. Zwei Tage alte Zertifikate macht man nicht aus Jux und Dollerei über Osterfeiertage ungültig.
Auf jeden Fall sollte man sich nach so einer Oster-Aktion einen anderen Anbieter für Zertifikate suchen.
-
@miller @bsi
Also entweder ist die Sicherheit der betroffenen Zertifikate sehr wohl tangiert, oder diese Blitzaktion mit all ihren absehbar gravierenden Folgen ist nicht gerechtfertigt. Sollte Letzteres zutreffen, dürfte über Schadenersatz noch zu reden sein.
Sollte Ersteres zutreffen, so verbreitet D-Trust auf der eigenen Website eine gefährliche Desinformation.
Beides ist nicht akzeptabel.
Bin bisher kein D-Trust-Kunde, und möglicherweise werde ich es auch nicht...@isf @miller @bsi Es ist eine Compliance-Maßnahme.
Für öffentliche CAs in Browsern gelten heutzutage strenge Regeln, deren strikte Einhaltung erwartet wird. Dazu gehört das Zurückrufen fehlerhaft ausgestellter Zertifikate.
Andererseits werden User durch die jetzigen Auswirkungen mal wieder erzogen, Zertifikatsfehler wegzuklicken. Und Admins müssen über Ostern eilig Zertifikate tauschen.
Ob das unterm Strich nicht der größere Schaden für die Sicherheit ist?
️
