Mastodawn

NobsWolf ♂🇩🇪🐺🇪🇺📡🏳️‍🌈23h ago

**Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH**

Die D-Trust GmbH tauscht kurzfristig TLS-Website-Zertifikate aus, die zwischen dem 15.03.2025 und dem 02.04.2026, 10:45 Uhr, ausgestellt wurden. Diese Zertifikate verlieren bereits am Montag, 06.04.2026, 17:00 Uhr, ihre Gültigkeit und sind ab diesem Zeitpunkt nicht mehr einsetzbar! [1/x]

Als BSI rufen wir daher alle Kunden der D-Trust GmbH dazu auf, schnellstmöglich neue Zertifikate für alle Dienste zu beantragen, die mit den betroffenen D-Trust-Zertifikaten abgesichert werden. Neben Webseiten können hier auch weitere Dienste wie zum Beispiel MDM-Verbindungen einen Zertifikatsaustausch erfordern.

[2/x]

Im Zuge dieser kurzfristig seitens der D-Trust GmbH erfolgten Maßnahme kann es während des Austauschs zu temporären Ausfällen zahlreicher Websites kommen - auch Institutionen der Bundesverwaltung sind betroffen. Die Maßnahme und in der Folge gegebenenfalls temporär auftretende Ausfälle stehen jedoch nicht im Zusammenhang mit einem Cyberangriff.

[3/4]

Die D-Trust GmbH hat ihren Kunden Informationen zum Zertifkatstausch bereitgestellt, die nun unmittelbar beachtet und umgesetzt werden müssen, Weitere Informationen sind zudem unter https://www.d-trust.net/de verfügbar.

[4/4]

D-Trust GmbH | qualifizierter Vertrauensdiensteanbieter

D-Trust GmbH, ein Unternehmen der Bundesdruckerei-Gruppe, ist ein zertifizierter Vertrauensdiensteanbieter. Das Unternehmen bietet Produkte nach eIDAS-Standard an.

Isarblues 1d ago

@bsi
Darf man fragen, was Auslöser für diese Maßnahme und vor Allem die drastische Einschränkung der Gültigkeit aller kürzlich erst ausgestellten Zertifikate war?
Auf der D-Trust-Website klingt die Begründung harmlos wie eine reguläre Wartungsmaßnahme.
Wegen einer Solchen würde man aber nicht die Gültigkeit plötzlich auf wenige Tage beschränken.
Gleichzeitig wird behauptet, alle Zertifikate seien zu jedem Zeitpunkt sicher. Aber warum müssen sie dann so plötzlich so dringend ersetzt werden???

schrotthaufen 1d ago

@isf @bsi An der Antwort wäre ich auch interessiert. Nicht zuletzt weil Montag ein Feiertag ist.

+1 für diese Frage. Das klingt alles sehr seltsam.

Isarblues 1d ago

@bsi
Halten wir fest:
Sicher ist im Moment nur, dass die betroffenen Zertifikate von D-Trust NICHT sicher sind!

★Pope Miller the Defondor, SBI 1d ago

@isf @bsi https://heise.de/-11245930
Kurzfassung: Sie haben Dinge anders interpretiert, als es üblich ist. Deutsche Behörde eben..

Admins müssen D-Trust-Zertifikate tauschen – bis Ostermontag

Die Bundesdruckerei-Tochter D-Trust beschert Administatoren kurzfristige Ostereinsätze: Ihre TLS-Zertifikate müssen bis Ostermontag 17 Uhr getauscht sein.

heise online

Isarblues 1d ago

@miller @bsi
Also entweder ist die Sicherheit der betroffenen Zertifikate sehr wohl tangiert, oder diese Blitzaktion mit all ihren absehbar gravierenden Folgen ist nicht gerechtfertigt. Sollte Letzteres zutreffen, dürfte über Schadenersatz noch zu reden sein.
Sollte Ersteres zutreffen, so verbreitet D-Trust auf der eigenen Website eine gefährliche Desinformation.
Beides ist nicht akzeptabel.
Bin bisher kein D-Trust-Kunde, und möglicherweise werde ich es auch nicht...

Felix Dreissig 23h ago

@isf @miller @bsi Es ist eine Compliance-Maßnahme.
Für öffentliche CAs in Browsern gelten heutzutage strenge Regeln, deren strikte Einhaltung erwartet wird. Dazu gehört das Zurückrufen fehlerhaft ausgestellter Zertifikate.
Andererseits werden User durch die jetzigen Auswirkungen mal wieder erzogen, Zertifikatsfehler wegzuklicken. Und Admins müssen über Ostern eilig Zertifikate tauschen.
Ob das unterm Strich nicht der größere Schaden für die Sicherheit ist? 🤷‍♂️

@bsi
Herrjeh, was ist denn passiert? Das wäre die Kern-Information für mich. Irgendetwas, was die Vertrauenswürdigkeit beeinträchtigt? Das Weglassen bestärkt diese Angst eher...

@bsi oh no, dann #hugops für alle die jetzt über die Feiertage D-Trust Zertifikate tauschen müssen, oder am Dienstag sehr viele Anrufe bekommen

noble feu 1d ago

@bsi

Nicht, kein Cyberangriff, diese Aussage lässt vieles zu was genau so ungeschickt sein könnte.

Also "Butter bei de Fische“.

Bernhard Biedermann 36m ago

@bsi Die Schulungen scheinen bislang nicht die erforderliche Qualität erzeugt zu haben. Schon blöd wenn man die "Laufzeit" übersieht, aber noch doofer ist es die Arbeit den Kunden aufzuhalsen. 🤢

@bsi Das sollte sein: https://bugzilla.mozilla.org/show_bug.cgi?id=2029013

2029013 - D-Trust: Missing Pre-Signing Linting for TLS Issuance

ASSIGNED (enrico.entschew) in CA Program - CA Certificate Compliance. Last updated 2026-04-04.

marco_m_aus_f 1d ago

@waldi @bsi Wegen einem *optionalen* linting-check machen die an einem Feiertag hunderte bis tausende Websites kaputt?

An einem Tag an dem keiner verfügbar ist um Zertifikate auszutauschen?

Ohne Vorlauf und Benachrichtigung?

Was machen die eigentlich beruflich?

@marco_m_aus_f Sie haben keine andere Wahl. Sie haben fünf Tage nach Benachrichtigung Zeit. Und Automatisierung für Zertifikate existiert.

marco_m_aus_f 1d ago

@waldi *MAY*, nicht *MUST*.
Kann man machen, muss man aber nicht.
Implementiert man, und das nächste abgerufene Zertifikat hat das dann.
Aber deswegen revoked man doch nicht.

Ich freu' mich schon auf die panischen, fehlgeleiteten Anrufe am Dienstag. Wegen nichts.

@marco_m_aus_f Nix *MAY*. Da steht *SHALL*, was für alle normalen Fälle identisch ist zu *MUST*.

Effective 2025‐03‐15, the CA SHALL implement such a Linting process.

https://cabforum.org/working-groups/server/baseline-requirements/documents/CA-Browser-Forum-TLS-BR-2.2.6.pdf, 4.3.1.2

Panta Rhei 1d ago

@waldi @marco_m_aus_f falls hier noch jemand mitliest und sich fragt, was es mit linting eigentlich auf sich hat:

„Linters serve to validate that certificate profiles align with established policies and standards, effectively acting as a safeguard against misissuance.“

https://www.ejbca.org/resources/keymaster-what-is-linting-in-the-pki-world/

#KEYMASTER: What is Linting in the PKI World?

Learn what linting means for PKI and how it helps ensure strong, standards-compliant certificates—before they are ever issued.

EJBCA

marco_m_aus_f 1d ago

@bsi Am Feiertag? Sind die noch ganz dicht, ey?

@bsi Danke für den Hinweis und schön zu sehen das ihr euer D-Trust Zertifikat gestern zeitnah erneuert habt.
Die ausstellende CA ist leider nicht in allen Root Stores vorhanden / von allen Root Store Programmen als vertrauenswürdig anerkannt.

Bspw. erscheinen für Nutzende von Apple Geräten eure Webseiten nun als nicht mehr vertrauenswürdig.

Ist das so gewollt?

Tuchowski 1d ago

@plaste @bsi 😜🤦🏾‍♂🤦🏾‍♂🤦🏾‍♂🤦🏾‍♂

Felix Dreissig 23h ago

@plaste @bsi Es scheint mir suboptimal konfiguriert zu sein, Details hier: https://chaos.social/@F30/116348001721376200

Felix Dreissig (@[email protected])

Regarding the certificate error on https://www.bsi.bund.de/ (at least) in Safari: This seems tangentially related to the current D-Trust certificate replacement woes, but really is another issue. The web server’s certificate was issued yesterday morning, probably due to the previous one being affected by the upcoming revocation. At the top of its hierarchy is "D-TRUST BR Root CA 2 2023". That root certificate is currently not trusted by Apple. (1/3)

chaos.social

@F30 @bsi Kommt auf die Perspektive an. Die AIA des finalen Zertifikates der Issuing CA verweist auf die nicht Cross- Signed Root CA.

IMHO braucht es hier, zumindest temporär eine Trust Chain mit verweisen auf die Cross- Signed CA. Das OS / der Browser folgen stumpf der Kette und kennen die Cross-Signed CA nicht.

Dazu kommt das nicht jeder Client die AIA Informationen nutzt.

Felix Dreissig 20h ago

@plaste @bsi Genau, und auch die Clients mit AIA Fetching sollten es nur als letztes Mittel verwenden.
Das Cross-signed Root mit als Intermediate in der Kette auszuliefern, müsste eigentlich in jedem Fall funktionieren.

@bsi
Vielleicht war die Idee beim #Faxgerät zu bleiben doch adäquater für den deutschen Staat als dieses neuländische Internet?
Oder hat das was mit den Beschlüssen innerhalb des CA/Browser-Forums zu tun? Unverständlich das nicht mal ein Hinweis auf die Gründe genannt wird, ganz auf Regierungslinie da beim @bsi?

@bsi
D-Trust GmbH klingt so kartoffelig, dass es wehtut

Thomas Arend 23h ago

Das klingt nach einem sehr schweren Sicherheitsvorfall. Dass das nicht der Fall ist, ist unglaubwürdig. Zwei Tage alte Zertifikate macht man nicht aus Jux und Dollerei über Osterfeiertage ungültig.

Auf jeden Fall sollte man sich nach so einer Oster-Aktion einen anderen Anbieter für Zertifikate suchen.

Bench Mark 3h ago

@byggvir @bsi Im Bericht zum Vorfall steht ja: "D-Trust identified that 19 TLS precertificates were issued with a validity period exceeding the maximum allowed validity of 200 days as defined in the TLS Baseline Requirements. The affected precertificates were issued with a validity period greater than permitted under Section 6.3.2. All affected certificates have been revoked after the issue was identified"

D-Trust hat zwar die 19 zu lang ausgestellten Zertifikate widerrufen und es gibt kein Risiko für die Bevölkerung. Insofern brauchen sie keine weiteren Erklärungen zu liefern.

Sie haben aber eine Verpflichtung als Zertifikatsaustellende Stelle (CA) verletzt und befürchten jetzt, aus den Wurzelspeichern (root stores) zu fliegen, was ihnen die Geschäftsgrundlage entziehen könnte. Dieses Risiko ist es wert, in vorauseilendem Gehorsam zu zeigen, dass D-Trust das Vertrauen der Internet-Gemeinde verdient. Das ist nur meine Interpretation und meine Vermutung, bitte nicht für bare Münze nehmen. Ich halte die Vorgangsweise für richtig. Es wäre ein unvergleichlich größeres Debakel, wenn D-Trust als CA rausfliegt.

Es wäre interessant herauszufinden, wer ihnen die manipulierten/präparierten Anträge (signing request) untergejubelt hat.

Thomas Arend 3h ago

@benchmark @bsi

Und das fällt ihnen Gründonnerstag auf und muss so schnell behoben werden, dass nicht bis Mittwoch oder Freitag der Woche Zeit ist?

پویان Pouyan 22h ago

@bsi ist D-Trust nicht ein bundeseigenes Unternehmen?