Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Tue, 07 Apr 2026 06:49:05 GMT

f30@chaos.social — Tue, 07 Apr 2026 06:49:05 GMT

@satmd @bsi Ja. Ich sag mal so, die Wahrscheinlichkeit dass bei D-Trust auch ein EJBCA läuft, ist nicht gering.
Die klassische Antwort wären detaillierte Change-Anweisungen und -Protokolle. Nicht schön, aber kann man für eine public CA schon mal machen.

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Mon, 06 Apr 2026 15:11:13 GMT

evilbob@sueden.social — Mon, 06 Apr 2026 15:11:13 GMT

@benchmark @byggvir @bsi Wie einst ein #premiumdenker sagte "Ein Teil dieser Antworten würde die Bevölkerung verunsichern" passt hier gut der war ja auch mal Chef von dem zuständigen Ressort. Nicht Information scheint sich als Prinzip im Bereich Inneres durchgesetzt zu haben. #justmy2cents

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Mon, 06 Apr 2026 11:36:41 GMT

syt@social.heise.de — Mon, 06 Apr 2026 11:36:41 GMT

@sfuertinger Aye, aye! 🫡 @bsi

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Mon, 06 Apr 2026 11:01:02 GMT

benchmark@wien.rocks — Mon, 06 Apr 2026 11:01:02 GMT

@twallutis @tbchlh @byggvir @bsi In diesem global gültigen Kontext ist "Work days" nicht klar genug definiert. Nicht in allen Gegenden der Welt werden Feiertage und Werktage so verstanden wie in Deutschland.

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Mon, 06 Apr 2026 09:22:52 GMT

f30@chaos.social — Mon, 06 Apr 2026 09:22:52 GMT

@Marco @isf @miller @bsi Hilft hier halt nur bedingt. Also die Toolchain zu haben erleichtert die Arbeit, aber die Zertifikate wären ja eigentlich noch länger gultig.

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Mon, 06 Apr 2026 09:13:16 GMT

byggvir@nrw.social — Mon, 06 Apr 2026 09:13:16 GMT

@tbchlh @benchmark @bsi

Operative Hektik ersetzt geistige Windstille. Schon Jesus wusste, dass der Sabath für den Menschen da ist und nicht umgekehrt. 200 Tage oder 5 Tage sind kein Naturgesetz.

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Mon, 06 Apr 2026 08:45:06 GMT

twallutis@ruhr.social — Mon, 06 Apr 2026 08:45:06 GMT

@tbchlh @byggvir @benchmark @bsi dann sollte aber mal "days" durch "Work days" ersetzt werden. So versaut man vielen Leuten (IMHO) die Feiertage und Phishing dazu gibt es vermutlich auch schon.

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Mon, 06 Apr 2026 08:34:28 GMT

morl99@hessen.social — Mon, 06 Apr 2026 08:34:28 GMT

@bsi wie kann man denn Ostermontag 17 Uhr für eine frühzeitige Revocation wählen?! Das schreit doch nach Massenweise Problemen die frühstens Dienstag 9 Uhr anslysiert werden. Wer hat denn hier die Risikoabwägung getätigt und wie kann man das begründen?

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Mon, 06 Apr 2026 08:08:04 GMT

sfuertinger@mast.hpc.social — Mon, 06 Apr 2026 08:08:04 GMT

@bsi @syt BSI + Web PKI = Podcast News Item!

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Mon, 06 Apr 2026 07:52:04 GMT

marco@ruhr.social — Mon, 06 Apr 2026 07:52:04 GMT

@F30 @isf @miller @bsi Vielleicht werden ja auch Admins mal endlich dazu erzogen, den Austausch von Zertifikaten weitestgehend zu automatisieren.

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Mon, 06 Apr 2026 07:38:29 GMT

exception@mastodon.savvy.ch — Mon, 06 Apr 2026 07:38:29 GMT

Da weder D-Trust noch @bsi den effektiven Grund für die Revocations nennen sind beide offensichtlich nicht vertrauenswürdig.

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Mon, 06 Apr 2026 07:23:38 GMT

tbchlh@mastodon.social — Mon, 06 Apr 2026 07:23:38 GMT

@byggvir @benchmark @bsi Die CA hat max. 5 Tage Zeit ab Kenntnis die Zertifikate zu widerrufen. Da bleibt dann wenig Handlungsspielraum. Dass das nun am Gründonnerstag auffällt, ist halt dumm gelaufen.

CAB BR 4.9.1.1:

"With the exception of Short-lived Subscriber Certificates, the CA SHOULD revoke a certificate within 24 hours and MUST revoke a Certificate within 5 days and use the corresponding CRLReason (see Section 7.2.2) if one or more of the following occurs:"

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Sun, 05 Apr 2026 17:40:12 GMT

bied@digitalhub.social — Sun, 05 Apr 2026 17:40:12 GMT

@bsi Die Schulungen scheinen bislang nicht die erforderliche Qualität erzeugt zu haben. Schon blöd wenn man die "Laufzeit" übersieht, aber noch doofer ist es die Arbeit den Kunden aufzuhalsen.

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Sun, 05 Apr 2026 14:30:37 GMT

byggvir@nrw.social — Sun, 05 Apr 2026 14:30:37 GMT

@benchmark @bsi

Und das fällt ihnen Gründonnerstag auf und muss so schnell behoben werden, dass nicht bis Mittwoch oder Freitag der Woche Zeit ist?

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Sun, 05 Apr 2026 14:25:38 GMT

benchmark@wien.rocks — Sun, 05 Apr 2026 14:25:38 GMT

@byggvir @bsi Im Bericht zum Vorfall steht ja: "D-Trust identified that 19 TLS precertificates were issued with a validity period exceeding the maximum allowed validity of 200 days as defined in the TLS Baseline Requirements. The affected precertificates were issued with a validity period greater than permitted under Section 6.3.2. All affected certificates have been revoked after the issue was identified"

D-Trust hat zwar die 19 zu lang ausgestellten Zertifikate widerrufen und es gibt kein Risiko für die Bevölkerung. Insofern brauchen sie keine weiteren Erklärungen zu liefern.

Sie haben aber eine Verpflichtung als Zertifikatsaustellende Stelle (CA) verletzt und befürchten jetzt, aus den Wurzelspeichern (root stores) zu fliegen, was ihnen die Geschäftsgrundlage entziehen könnte. Dieses Risiko ist es wert, in vorauseilendem Gehorsam zu zeigen, dass D-Trust das Vertrauen der Internet-Gemeinde verdient. Das ist nur meine Interpretation und meine Vermutung, bitte nicht für bare Münze nehmen. Ich halte die Vorgangsweise für richtig. Es wäre ein unvergleichlich größeres Debakel, wenn D-Trust als CA rausfliegt.

Es wäre interessant herauszufinden, wer ihnen die manipulierten/präparierten Anträge (signing request) untergejubelt hat.

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Sat, 04 Apr 2026 21:49:09 GMT

f30@chaos.social — Sat, 04 Apr 2026 21:49:09 GMT

@plaste @bsi Genau, und auch die Clients mit AIA Fetching sollten es nur als letztes Mittel verwenden.
Das Cross-signed Root mit als Intermediate in der Kette auszuliefern, müsste eigentlich in jedem Fall funktionieren.

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Sat, 04 Apr 2026 21:01:30 GMT

plaste@chaos.social — Sat, 04 Apr 2026 21:01:30 GMT

@F30 @bsi Kommt auf die Perspektive an. Die AIA des finalen Zertifikates der Issuing CA verweist auf die nicht Cross- Signed Root CA.

IMHO braucht es hier, zumindest temporär eine Trust Chain mit verweisen auf die Cross- Signed CA. Das OS / der Browser folgen stumpf der Kette und kennen die Cross-Signed CA nicht.

Dazu kommt das nicht jeder Client die AIA Informationen nutzt.

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Sat, 04 Apr 2026 20:29:15 GMT

sco_tty@mastodon.social — Sat, 04 Apr 2026 20:29:15 GMT

@bsi oh no, dann #hugops für alle die jetzt über die Feiertage D-Trust Zertifikate tauschen müssen, oder am Dienstag sehr viele Anrufe bekommen

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Sat, 04 Apr 2026 19:42:31 GMT

i@toot.pouyan.net — Sat, 04 Apr 2026 19:42:31 GMT

@bsi@social.bund.de ist D-Trust nicht ein bundeseigenes Unternehmen?

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Sat, 04 Apr 2026 19:12:32 GMT

f30@chaos.social — Sat, 04 Apr 2026 19:12:32 GMT

@plaste @bsi Es scheint mir suboptimal konfiguriert zu sein, Details hier: https://chaos.social/@F30/116348001721376200

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Sat, 04 Apr 2026 19:11:04 GMT

f30@chaos.social — Sat, 04 Apr 2026 19:11:04 GMT

@isf @miller @bsi Es ist eine Compliance-Maßnahme.
Für öffentliche CAs in Browsern gelten heutzutage strenge Regeln, deren strikte Einhaltung erwartet wird. Dazu gehört das Zurückrufen fehlerhaft ausgestellter Zertifikate.
Andererseits werden User durch die jetzigen Auswirkungen mal wieder erzogen, Zertifikatsfehler wegzuklicken. Und Admins müssen über Ostern eilig Zertifikate tauschen.
Ob das unterm Strich nicht der größere Schaden für die Sicherheit ist? ‍️

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Sat, 04 Apr 2026 18:21:01 GMT

byggvir@nrw.social — Sat, 04 Apr 2026 18:21:01 GMT

@bsi

Das klingt nach einem sehr schweren Sicherheitsvorfall. Dass das nicht der Fall ist, ist unglaubwürdig. Zwei Tage alte Zertifikate macht man nicht aus Jux und Dollerei über Osterfeiertage ungültig.

Auf jeden Fall sollte man sich nach so einer Oster-Aktion einen anderen Anbieter für Zertifikate suchen.

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Sat, 04 Apr 2026 18:04:22 GMT

isf@muenchen.social — Sat, 04 Apr 2026 18:04:22 GMT

@miller @bsi
Also entweder ist die Sicherheit der betroffenen Zertifikate sehr wohl tangiert, oder diese Blitzaktion mit all ihren absehbar gravierenden Folgen ist nicht gerechtfertigt. Sollte Letzteres zutreffen, dürfte über Schadenersatz noch zu reden sein.
Sollte Ersteres zutreffen, so verbreitet D-Trust auf der eigenen Website eine gefährliche Desinformation.
Beides ist nicht akzeptabel.
Bin bisher kein D-Trust-Kunde, und möglicherweise werde ich es auch nicht...

Reply to Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH on Sat, 04 Apr 2026 17:53:25 GMT

miller@ruhr.social — Sat, 04 Apr 2026 17:53:25 GMT

@isf @bsi https://heise.de/-11245930
Kurzfassung: Sie haben Dinge anders interpretiert, als es üblich ist. Deutsche Behörde eben..

**Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH**

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Tue, 07 Apr 2026 06:49:05 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Mon, 06 Apr 2026 15:11:13 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Mon, 06 Apr 2026 11:36:41 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Mon, 06 Apr 2026 11:01:02 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Mon, 06 Apr 2026 09:22:52 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Mon, 06 Apr 2026 09:13:16 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Mon, 06 Apr 2026 08:45:06 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Mon, 06 Apr 2026 08:34:28 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Mon, 06 Apr 2026 08:08:04 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Mon, 06 Apr 2026 07:52:04 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Mon, 06 Apr 2026 07:38:29 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Mon, 06 Apr 2026 07:23:38 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Sun, 05 Apr 2026 17:40:12 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Sun, 05 Apr 2026 14:30:37 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Sun, 05 Apr 2026 14:25:38 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Sat, 04 Apr 2026 21:49:09 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Sat, 04 Apr 2026 21:01:30 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Sat, 04 Apr 2026 20:29:15 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Sat, 04 Apr 2026 19:42:31 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Sat, 04 Apr 2026 19:12:32 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Sat, 04 Apr 2026 19:11:04 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Sat, 04 Apr 2026 18:21:01 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Sat, 04 Apr 2026 18:04:22 GMT

Reply to **Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH** on Sat, 04 Apr 2026 17:53:25 GMT