TLS-Zertifikate

Nach einem aktuellen Austausch mit Experten und Expertinnen zur Ausstellung von TLS-Zertifikaten haben wir unsere Prozesse an detaillierte Vorgaben des CA/Browser-Forums angepasst. Die Umsetzung dieser Anpassung erfolgte kurzfristig im Rahmen der vorgegebenen Frist des CA/Browser-Forums und erforderte den Austausch der betroffenen TLS-Zertifikate innerhalb von fünf Tagen. Wir bedauern die damit verbundenen Unannehmlichkeiten, insbesondere vor dem Hintergrund der Osterfeiertage. Die bestehenden Zertifikate waren und sind zu keinem Zeitpunkt in ihrer Sicherheit oder Integrität beeinträchtigt.

Es sind ausschließlich TLS-Zertifikate betroffen. Diese werden in der Regel zur Absicherung von Webseiten (https) oder zur Absicherung von Server-zu-Server-Kommunikation (z. B. APIs) eingesetzt. Nicht betroffen sind Basis-Zertifikate, Geräte-Zertifikate sowie s/mime-Zertifikate.

Wenn Sie mindestens eine der folgenden Fragen mit „Ja“ beantworten, ist Ihr TLS-Zertifikat betroffen:

• Wurde das Zertifikat im Zeitraum vom 15.03.2025 bis zum 02.04.2026, 10:45 Uhr, bei D-Trust ausgestellt und handelt es sich um ein TLS-Zertifikat (DV, OV, EV)?
• Kommt das Zertifikat aus einer der folgenden PKI-Hierarchien?
  D-TRUST Root Claas 3 CA 2 EV 2009
  D-TRUST Root Claas 3 CA 2 2009
  D-TRUST EV Root CA 1 2020
  D-TRUST BR Root CA 1 2020
  D-TRUST EV Root CA 2 2023
  D-TRUST BR Root CA 2 2023
• Kommt das Zertifikat aus einer der folgenden CAs?
  D-TRUST BR CA 2-23-1 2023
  D-TRUST SSL Class 3 CA 1 2009
  D-TRUST SSL Class 3 CA 1 EV 2009
  D-TRUST SSL CA 2 2020
  D-TRUST BR CA 1-20-1 2020
  D-TRUST BR CA 1-20-2 2020
  D-TRUST BR CA 2-23-2 2023
  D-TRUST CA 2-2 EV 2016

Grundsätzlich ist es erforderlich zu prüfen, ob Ihre Zertifikate betroffen sind. Gegebenenfalls müssen Sie neue beantragen und diese in Ihrer Infrastruktur austauschen.

Gehen Sie dabei wie folgt vor:

1. Bitte überprüfen Sie, ob Ihre Organisation betroffen ist. Der einfachste Weg wäre zu prüfen, ob Ihre Operatoren (technisches Personal, das Zertifikate verwaltet) von uns per E-Mail kontaktiert wurden.
2. Sollten Ihre TLS-Zertifikate betroffen sein, beantragen Sie bitte neue TLS-Zertifikate über den bisher von Ihnen genutzten Weg, zum Beispiel über unser Antragsportal für TLS-Zertifikate (D-Trust Certificate Service Manager).
3. Nach Bereitstellung der neuen TLS-Zertifikate, lassen Sie bitte die bisher genutzten, alten TLS-Zertifikate in Ihrer Infrastruktur austauschen und durch die neuen TLS-Zertifikate ersetzen. Wir empfehlen diesen Austausch so zeitnah wie möglich, idealerweise vor der Sperrung des alten TLS-Zertifikats, durchzuführen. 

Die Umsetzung erfolgt in der Regel durch Ihre IT-Abteilung bzw. Administratoren. Falls Sie diese Aufgaben ausgelagert haben, wenden Sie sich bitte an Ihren entsprechenden Dienstleister.

Bitte benutzen Sie zur Beantragung eines neuen Zertifikats den Weg, der Ihnen zur Verfügung steht und den sie bisher genutzt haben. Das TLS-Zertifikat wird ein vollständig neues Zertifikat mit voller Laufzeit sein. 

Generell stehen Ihnen drei Wege zur Verfügung:

• Über eine vorab implementierte/konnektierte technische Schnittstelle (API)
• Über unser Antragsportal für TLS-Zertifikate (D-Trust Certificate Service Manager)
• Über einen Reseller

Alle TLS-Zertifikate, die zwischen dem 15.03.2025 und dem 02.04.2026, 10:45 Uhr ausgestellt wurden, sind ab Montag, den 06.04.2026, 17:00 Uhr nicht mehr gültig.

D-Trust stellt Ihnen die neuen TLS-Zertifikate kostenfrei zur Verfügung. Sollten im Antragsprozess derzeit Hinweise auf mögliche Kosten erscheinen, können Sie diese ignorieren. Die neu beantragten TLS-Zertifikate werden Ihnen nicht in Rechnung gestellt.