**Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH**
Die D-Trust GmbH tauscht kurzfristig TLS-Website-Zertifikate aus, die zwischen dem 15.03.2025 und dem 02.04.2026, 10:45 Uhr, ausgestellt wurden. Diese Zertifikate verlieren bereits am Montag, 06.04.2026, 17:00 Uhr, ihre Gültigkeit und sind ab diesem Zeitpunkt nicht mehr einsetzbar! [1/x]
@bsi Danke für den Hinweis und schön zu sehen das ihr euer D-Trust Zertifikat gestern zeitnah erneuert habt.
Die ausstellende CA ist leider nicht in allen Root Stores vorhanden / von allen Root Store Programmen als vertrauenswürdig anerkannt.
Bspw. erscheinen für Nutzende von Apple Geräten eure Webseiten nun als nicht mehr vertrauenswürdig.
Ist das so gewollt?
Regarding the certificate error on https://www.bsi.bund.de/ (at least) in Safari: This seems tangentially related to the current D-Trust certificate replacement woes, but really is another issue. The web server’s certificate was issued yesterday morning, probably due to the previous one being affected by the upcoming revocation. At the top of its hierarchy is "D-TRUST BR Root CA 2 2023". That root certificate is currently not trusted by Apple. (1/3)
@F30 @bsi Kommt auf die Perspektive an. Die AIA des finalen Zertifikates der Issuing CA verweist auf die nicht Cross- Signed Root CA.
IMHO braucht es hier, zumindest temporär eine Trust Chain mit verweisen auf die Cross- Signed CA. Das OS / der Browser folgen stumpf der Kette und kennen die Cross-Signed CA nicht.
Dazu kommt das nicht jeder Client die AIA Informationen nutzt.
BSI
plaste
Felix Dreissig