BSI warnt: D-Trust-Zertifikate verlieren durch Fehler jetzt die Gültigkeit
Ein unerwartetes Osterei für IT-Administratoren: Tausende TLS-Zertifikate der Bundesdruckerei-Tochter D-Trust verlieren am Ostermontag ihre Gültigkeit. Ein sofortiger Austausch ist zwingend erforderlich, um weitreichende Server-Ausfälle zu vermeiden.
Werden die Zertifikate nicht rechtzeitig erneuert, sind Ausfälle bei verschlüsselten Verbindungen im Internet möglich. D-Trust versorgt unter anderem Teile der Telematikinfrastruktur im Gesundheitswesen sowie Behörden mit Sicherheitszertifikaten.
Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont, steht der Rückruf nicht im Zusammenhang mit einem Cyberangriff. Die kryptografische Sicherheit der Zertifikate war nach Angaben der Behörde jederzeit gewährleistet. Auslöser ist ein formaler Fehler in automatisierten Prüfprozessen (Linting), bei denen Werkzeuge wie ZLint Zertifikate vor der Ausstellung auf die Einhaltung von Branchenstandards kontrollieren.
Um die Auswirkungen für Kunden abzufedern, hat D-Trust nach eigenen Angaben einen durchgehenden Notfall-Support über die Feiertage eingerichtet. Spezialteams sollen beim schnellen Austausch der Zertifikate helfen und technische Fragen klären. Der Vorfall zeigt, wie stark moderne IT-Infrastrukturen an internationale Sicherheitsstandards gebunden sind: Schon formale Abweichungen können umfangreiche Umstellungen erforderlich machen.
Musstet ihr über die Feiertage ebenfalls TLS-Zertifikate tauschen oder seid ihr von Ausfällen verschont geblieben? Teilt eure Erfahrungen zu diesem Vorfall gerne mit uns in den Kommentaren!
Siehe auch:
Kurzfristiger Zertifikatstausch nötig
D-Trust, eine Tochter der Bundesdruckerei, muss kurzfristig zahlreiche TLS-Zertifikate zurückrufen. Alle seit dem 15. März 2026 neu ausgestellten Zertifikate sind betroffen und müssen bis Ostermontag, 6. April 2026, 17 Uhr, von Administratoren ausgetauscht werden. Die digitalen Ausweise für Webseiten und Server verlieren danach ihre Gültigkeit.Werden die Zertifikate nicht rechtzeitig erneuert, sind Ausfälle bei verschlüsselten Verbindungen im Internet möglich. D-Trust versorgt unter anderem Teile der Telematikinfrastruktur im Gesundheitswesen sowie Behörden mit Sicherheitszertifikaten.
"Fomaler Fehler"
Die kurze Frist über die Osterfeiertage führt in vielen IT-Abteilungen zu zusätzlichem Aufwand, da neben Webseiten auch weitere Dienste wie Verbindungen für das Mobilgerätemanagement umgestellt werden müssen.Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont, steht der Rückruf nicht im Zusammenhang mit einem Cyberangriff. Die kryptografische Sicherheit der Zertifikate war nach Angaben der Behörde jederzeit gewährleistet. Auslöser ist ein formaler Fehler in automatisierten Prüfprozessen (Linting), bei denen Werkzeuge wie ZLint Zertifikate vor der Ausstellung auf die Einhaltung von Branchenstandards kontrollieren.
Drohender Vertrauensverlust
Der zugrunde liegende Fehler war bereits Mitte März 2026 aufgefallen. Demnach überschritten mehrere ausgestellte Vorabzertifikate die maximal erlaubte Gültigkeitsdauer von 200 Tagen. Diese Pre-Zertifikate werden in sogenannten Certificate-Transparency-Logs erfasst, einem öffentlichen Protokoll, das heimliche oder fehlerhafte Zertifikatsausstellungen sichtbar machen soll. Verstöße gegen diese Vorgaben ziehen verpflichtende Korrekturmaßnahmen nach sich.Um die Auswirkungen für Kunden abzufedern, hat D-Trust nach eigenen Angaben einen durchgehenden Notfall-Support über die Feiertage eingerichtet. Spezialteams sollen beim schnellen Austausch der Zertifikate helfen und technische Fragen klären. Der Vorfall zeigt, wie stark moderne IT-Infrastrukturen an internationale Sicherheitsstandards gebunden sind: Schon formale Abweichungen können umfangreiche Umstellungen erforderlich machen.
Musstet ihr über die Feiertage ebenfalls TLS-Zertifikate tauschen oder seid ihr von Ausfällen verschont geblieben? Teilt eure Erfahrungen zu diesem Vorfall gerne mit uns in den Kommentaren!
Sind meine Zertifikate betroffen?
Betroffen sind TLS-Website-Zertifikate der D-Trust GmbH (einer Tochter der Bundesdruckerei), die in einem bestimmten Zeitraum ausgestellt wurden. Konkret geht es um den Zeitraum zwischen dem 15. März 2025 und dem 2. April 2026 um 10:45 Uhr.
Prüfen Sie umgehend das Ausstellungsdatum Ihrer eingesetzten D-Trust-Zertifikate. Fällt dieses in das genannte Zeitfenster, verlieren die Zertifikate am Ostermontag, den 6. April 2026, um 17:00 Uhr unwiderruflich ihre Gültigkeit.
Prüfen Sie umgehend das Ausstellungsdatum Ihrer eingesetzten D-Trust-Zertifikate. Fällt dieses in das genannte Zeitfenster, verlieren die Zertifikate am Ostermontag, den 6. April 2026, um 17:00 Uhr unwiderruflich ihre Gültigkeit.
Was muss ich jetzt konkret tun?
Als IT-Administrator müssen Sie für alle betroffenen Dienste schnellstmöglich neue TLS-Zertifikate bei D-Trust beantragen. Sobald diese vorliegen, müssen sie umgehend in den jeweiligen Systemen installiert und konfiguriert werden.
Warten Sie nicht bis zur letzten Minute. Ein frühzeitiger Austausch stellt sicher, dass Ihre Webseiten und internen Dienste nach den Osterfeiertagen reibungslos weiterlaufen und Ihre Nutzer keine Sicherheitswarnungen erhalten.
Warten Sie nicht bis zur letzten Minute. Ein frühzeitiger Austausch stellt sicher, dass Ihre Webseiten und internen Dienste nach den Osterfeiertagen reibungslos weiterlaufen und Ihre Nutzer keine Sicherheitswarnungen erhalten.
Warum eilt der Austausch so sehr?
Die extrem kurze Frist bis Ostermontag resultiert aus strikten Vorgaben des CA/Browser Forums. Bei Regelverstößen müssen Zertifizierungsstellen fehlerhafte Zertifikate zwingend innerhalb von fünf Tagen widerrufen.
Hätte D-Trust diese Frist verstreichen lassen, hätte angeblich ein kompletter Vertrauensentzug (Detrust) durch die großen Browser-Anbieter gedroht. Dann wären sämtliche D-Trust-Zertifikate aus den Root-Stores geflogen.
Hätte D-Trust diese Frist verstreichen lassen, hätte angeblich ein kompletter Vertrauensentzug (Detrust) durch die großen Browser-Anbieter gedroht. Dann wären sämtliche D-Trust-Zertifikate aus den Root-Stores geflogen.
Was passiert bei verpasster Frist?
Wenn Sie die Zertifikate nicht bis zum 6. April 2026 um 17:00 Uhr austauschen, werden diese von der Bundesregistry offiziell für ungültig erklärt. Gängige Webbrowser stufen Ihre Webseiten dann sofort als "nicht sicher" ein.
Dies führt in der Praxis dazu, dass Nutzer Ihre Seiten nicht mehr aufrufen können oder von drastischen Warnmeldungen abgeschreckt werden. Auch interne Dienste, die auf TLS-Verschlüsselung setzen, werden ihren Dienst verweigern.
Dies führt in der Praxis dazu, dass Nutzer Ihre Seiten nicht mehr aufrufen können oder von drastischen Warnmeldungen abgeschreckt werden. Auch interne Dienste, die auf TLS-Verschlüsselung setzen, werden ihren Dienst verweigern.
Wie kam es zu diesem Fehler?
Hintergrund ist ein Problem bei den automatischen Prüfprozessen, dem sogenannten Linting. Es heißt, dass 19 TLS-Pre-Zertifikate mit einer Gültigkeitsdauer ausgestellt wurden, die das erlaubte Maximum von 200 Tagen überschritt.
D-Trust hatte die Branchenregeln für die Zertifikatserstellung offenbar anders interpretiert als der allgemeine technische Konsens der Community. Um den Fehler zu beheben, musste der Ausstellungsprozess nun strikt angepasst werden.
D-Trust hatte die Branchenregeln für die Zertifikatserstellung offenbar anders interpretiert als der allgemeine technische Konsens der Community. Um den Fehler zu beheben, musste der Ausstellungsprozess nun strikt angepasst werden.
Welche Systeme sind in Gefahr?
Neben klassischen Webseiten können auch zahlreiche andere IT-Infrastrukturen betroffen sein. Das BSI weist explizit darauf hin, dass beispielsweise Verbindungen im Mobile Device Management (MDM) einen Austausch erfordern könnten.
Da D-Trust auch Teile der Gesundheits-Telematik-Infrastruktur versorgt, sollten Administratoren in Kliniken und Praxen ihre Systeme prüfen. Bei der Bundesverwaltung kam es laut Quellen bereits zu temporären Ausfällen.
Da D-Trust auch Teile der Gesundheits-Telematik-Infrastruktur versorgt, sollten Administratoren in Kliniken und Praxen ihre Systeme prüfen. Bei der Bundesverwaltung kam es laut Quellen bereits zu temporären Ausfällen.
Wo erhalte ich über Ostern Hilfe?
Da die Frist unglücklicherweise genau auf die Osterfeiertage fällt, hat die Bundesdruckerei reagiert. Der Customer Service von D-Trust ist über die gesamten Feiertage durchgehend erreichbar, um bei der Umstellung zu helfen.
Betroffene Administratoren können sich bei Problemen mit dem Austausch direkt an den Support wenden. Weitere offizielle Informationen und Handlungsanweisungen finden Sie direkt unter d-trust.net/de.
Betroffene Administratoren können sich bei Problemen mit dem Austausch direkt an den Support wenden. Weitere offizielle Informationen und Handlungsanweisungen finden Sie direkt unter d-trust.net/de.
Zusammenfassung
- BSI warnt vor Ungültigkeit von D-Trust-Zertifikaten ab Ostermontag
- Alle seit dem 15. März 2026 ausgestellten TLS-Zertifikate sind betroffen
- Austausch muss bis zum 6. April 2026 um 17 Uhr abgeschlossen sein
- Gesundheits-Telematik und Regierungsinstitutionen sind stark betroffen
- Ursache ist ein formaler Fehler bei automatischen Linting-Prüfprozessen
- Vorabzertifikate überschritten die erlaubte Gültigkeitsdauer von 200 Tagen
- D-Trust richtet durchgehenden Notfall-Support über die Feiertage ein
Siehe auch:
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen