Admins müssen D-Trust-Zertifikate tauschen – bis Ostermontag
Die Bundesdruckerei-Tochter D-Trust beschert Administatoren kurzfristige Ostereinsätze: Ihre TLS-Zertifikate müssen bis Ostermontag 17 Uhr getauscht sein.
D-Trust warnt.
(Bild: Screenshot heise medien)
Die zur Bundesdruckerei gehörende Registrierungsstelle D-Trust ruft kurzfristig alle seit dem 15.03.2025 bis zum Vormittag des 02.04.2026 herausgegebenen TLS-Zerfitikate zurück. Das teilt die Registration Authority des bundeseigenen Unternehmens auf ihrer Website mit. Bereits um 17 Uhr am Ostermontag, dem 06.04.2026, werden die Zertifikate offiziell von der Bundesregistry für ungültig erklärt.
Darauf wies am Karsamstagnachmittag das Bundesamt für Sicherheit in der Informationstechnik hin. Während des Austauschs der Zertifikate seien Ausfälle zahlreicher Websites möglich, auch Institutionen der Bundesverwaltung könnten davon betroffen sein, heißt es vom BSI. Es bestehe dabei kein Zusammenhang mit einem Cyberangriff, versucht das BSI vorab bereits Entwarnung zu geben. D-Trust versorgt unter anderem auch Teile der Gesundheits-Telematik-Infrastruktur mit Zertifikaten.
Angeblich kein Sicherheitsproblem
„Die Sicherheit Ihrer Zertifikate war und ist zu jeder Zeit gewährleistet“, heißt es seitens D-Trust. Hintergrund der kurzfristigen Rückrufaktion ist offenbar ein Problem mit dem sogenannten Linting, also den automatischen Prüfprozessen.
Hier hatte sich im Nachgang zur Diskussion zu einer unzulässigen Präzertifikatsdauer herausgestellt, dass D-Trust die Branchenregeln für die Erstellung von Zertifikaten hier anders interpretiert hatte als das allgemeiner technischer Konsens innerhalb der Community ist.
Videos by heise
Auf eine kurzfristige Anfrage am Karsamstagnachmittag, warum trotz angeblich fehlender Auswirkungen auf die Sicherheit das ostermontagliche Zurückrufen nötig sei und wie viele Zertifikate davon betroffen sind reagierte die Pressestelle der Bundesdruckerei bislang nicht.
Am Morgen des Ostersonntags erklärte eine Sprecherin der Bundesdruckerei: "Aufgrund einer strikten Fristvorgabe des CA/Browser Forums und nach intensivem Austausch mit Experten und Expertinnen mussten wir den Prozess zur Ausstellung von TLS-Zertifikaten an die detaillierten Vorgaben des CA/Browser-Forums anpassen." Notwendig sei die Maßnahme geworden, um einem Vertrauensentzug (Detrust) durch Browser-Anbieter und damit den Ausschluss aller D-Trust Zertifikate aus den Root-Stores der Browser-Anbieter zu vermeiden. "Wir bedauern sehr, dass diese Maßnahme genau auf die Osterfeiertage fällt. Dies war jedoch aufgrund der genannten strikten Vorgaben des CA/Browser Forums leider unumgänglich. Aus diesem Grund sind die D-Trust und der Customer Service durchgehend über die Feiertage für die Kunden erreichbar, um bei dem Tausch der TLS-Zertifikate mit Hochdruck zu unterstützen."
(nie)
