Mastodawn

**Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH**

Die D-Trust GmbH tauscht kurzfristig TLS-Website-Zertifikate aus, die zwischen dem 15.03.2025 und dem 02.04.2026, 10:45 Uhr, ausgestellt wurden. Diese Zertifikate verlieren bereits am Montag, 06.04.2026, 17:00 Uhr, ihre Gültigkeit und sind ab diesem Zeitpunkt nicht mehr einsetzbar! [1/x]

Show thread

BSI 1d ago

Als BSI rufen wir daher alle Kunden der D-Trust GmbH dazu auf, schnellstmöglich neue Zertifikate für alle Dienste zu beantragen, die mit den betroffenen D-Trust-Zertifikaten abgesichert werden. Neben Webseiten können hier auch weitere Dienste wie zum Beispiel MDM-Verbindungen einen Zertifikatsaustausch erfordern.

[2/x]

Show thread

BSI 1d ago

Im Zuge dieser kurzfristig seitens der D-Trust GmbH erfolgten Maßnahme kann es während des Austauschs zu temporären Ausfällen zahlreicher Websites kommen - auch Institutionen der Bundesverwaltung sind betroffen. Die Maßnahme und in der Folge gegebenenfalls temporär auftretende Ausfälle stehen jedoch nicht im Zusammenhang mit einem Cyberangriff.

[3/4]

Show thread

BSI 1d ago

Die D-Trust GmbH hat ihren Kunden Informationen zum Zertifkatstausch bereitgestellt, die nun unmittelbar beachtet und umgesetzt werden müssen, Weitere Informationen sind zudem unter https://www.d-trust.net/de verfügbar.

[4/4]

D-Trust GmbH | qualifizierter Vertrauensdiensteanbieter

D-Trust GmbH, ein Unternehmen der Bundesdruckerei-Gruppe, ist ein zertifizierter Vertrauensdiensteanbieter. Das Unternehmen bietet Produkte nach eIDAS-Standard an.

Show thread

Isarblues 1d ago

@bsi
Darf man fragen, was Auslöser für diese Maßnahme und vor Allem die drastische Einschränkung der Gültigkeit aller kürzlich erst ausgestellten Zertifikate war?
Auf der D-Trust-Website klingt die Begründung harmlos wie eine reguläre Wartungsmaßnahme.
Wegen einer Solchen würde man aber nicht die Gültigkeit plötzlich auf wenige Tage beschränken.
Gleichzeitig wird behauptet, alle Zertifikate seien zu jedem Zeitpunkt sicher. Aber warum müssen sie dann so plötzlich so dringend ersetzt werden???

Show thread

★Pope Miller the Defondor, SBI

@isf @bsi https://heise.de/-11245930
Kurzfassung: Sie haben Dinge anders interpretiert, als es üblich ist. Deutsche Behörde eben..

Admins müssen D-Trust-Zertifikate tauschen – bis Ostermontag

Die Bundesdruckerei-Tochter D-Trust beschert Administatoren kurzfristige Ostereinsätze: Ihre TLS-Zertifikate müssen bis Ostermontag 17 Uhr getauscht sein.

heise online

Show thread

Isarblues 1d ago

@miller @bsi
Also entweder ist die Sicherheit der betroffenen Zertifikate sehr wohl tangiert, oder diese Blitzaktion mit all ihren absehbar gravierenden Folgen ist nicht gerechtfertigt. Sollte Letzteres zutreffen, dürfte über Schadenersatz noch zu reden sein.
Sollte Ersteres zutreffen, so verbreitet D-Trust auf der eigenen Website eine gefährliche Desinformation.
Beides ist nicht akzeptabel.
Bin bisher kein D-Trust-Kunde, und möglicherweise werde ich es auch nicht...

Show thread

Felix Dreissig 1d ago

@isf @miller @bsi Es ist eine Compliance-Maßnahme.
Für öffentliche CAs in Browsern gelten heutzutage strenge Regeln, deren strikte Einhaltung erwartet wird. Dazu gehört das Zurückrufen fehlerhaft ausgestellter Zertifikate.
Andererseits werden User durch die jetzigen Auswirkungen mal wieder erzogen, Zertifikatsfehler wegzuklicken. Und Admins müssen über Ostern eilig Zertifikate tauschen.
Ob das unterm Strich nicht der größere Schaden für die Sicherheit ist? 🤷‍♂️

Show thread

Marco 2h ago

@F30 @isf @miller @bsi Vielleicht werden ja auch Admins mal endlich dazu erzogen, den Austausch von Zertifikaten weitestgehend zu automatisieren. 🙈

Show thread

Felix Dreissig 1h ago

@Marco @isf @miller @bsi Hilft hier halt nur bedingt. Also die Toolchain zu haben erleichtert die Arbeit, aber die Zertifikate wären ja eigentlich noch länger gultig.