Direkt zur Hauptnavigation springen Direkt zum Inhalt springen

D-Trust widerruft S/MIME-Zertifikate: Was Sie als E-Mail-Nutzer jetzt wissen sollten

Seit dem 8. Mai 2026, 15:00 Uhr, sperrt der deutsche Vertrauensdienste­anbieter D-Trust drei weit verbreitete Typen von S/MIME-Zertifikaten. Wer die betroffenen Zertifikate für signierte oder verschlüsselte E-Mails nutzt, sollte umgehend ein Ersatzzertifikat beantragen. Wir fassen zusammen, was geschehen ist und welche Schritte sinnvoll sind.

D-Trust, eine Tochter der Bundesdruckerei und einer der wichtigsten deutschen Vertrauensdiensteanbieter, hat einen umfangreichen Austausch von S/MIME-Zertifikaten eingeleitet. Ab dem 8. Mai 2026, 15:00 Uhr (MESZ), verlieren die Zertifikatstypen „Advanced Personal eID", „Advanced Enterprise (inkl. SIG/ENC) ID" und „Advanced Team ID" ihre Gültigkeit. Da viele Anwenderinnen und Anwender ihre E-Mail-Kommunikation über Postfächer bei webhostone abwickeln und dort S/MIME für vertrauliche Inhalte einsetzen, fassen wir die wichtigsten Punkte zusammen.

Worum geht es?

S/MIME steht für „Secure/Multipurpose Internet Mail Extensions" und ist ein etabliertes Verfahren, um E-Mails digital zu signieren und zu verschlüsseln. Für Berufe mit Verschwiegenheitspflicht – Ärztinnen und Ärzte, Anwältinnen und Anwälte, Notariate, Steuerberatungen und Psychotherapie-Praxen – ist S/MIME ein gängiges Werkzeug, um die Vorgaben aus § 203 StGB und der Datenschutz-Grundverordnung praktisch umzusetzen. D-Trust hat festgestellt, dass der sogenannte Linting-Prozess, mit dem die Konformität neuer Zertifikate zu den Baseline Requirements des CA/Browser Forums geprüft wird, in einzelnen Zertifizierungsstellen nicht ausreichend implementiert war. Die Anpassung der Ausstellungsprozesse erfolgte am 4. Mai 2026. Damit verbunden ist die Sperrung der bisher unter dieser Hierarchie ausgestellten Zertifikate. Wichtig: Die bestehenden Zertifikate waren und sind zu keiner Zeit in ihrer Sicherheit oder Integrität beeinträchtigt. Es handelt sich um einen Konformitätsverstoß gegen die formalen Vorgaben des CA/Browser Forums, nicht um eine kryptografische Schwäche.

Welche Zertifikate sind betroffen?

Laut D-Trust gilt ein Zertifikat als betroffen, wenn alle folgenden Punkte zutreffen:

  • Es handelt sich um ein bei D-Trust beantragtes S/MIME-Zertifikat.
  • Es stammt aus der PKI-Hierarchie „D-TRUST Root CA 3 2013".
  • Es wurde durch die CA „D-TRUST Application Certificates CA 3-1 2013" ausgestellt.

VS-NfD-Zertifikate sind nicht betroffen. Ebenso bleiben qualifizierte Signaturkarten unter der eIDAS-Regulierung außerhalb dieses Vorgangs – sie folgen einem anderen Regelwerk als die CA/Browser Forum Baseline Requirements.

Was bedeutet das für Sie?

Wenn Sie S/MIME für die Signatur oder Verschlüsselung Ihrer E-Mails einsetzen, prüfen Sie zunächst, ob eines Ihrer Zertifikate von D-Trust stammt. Den Aussteller erkennen Sie in den meisten E-Mail-Programmen über die Zertifikatseigenschaften der jeweiligen Mail oder in den Einstellungen der Konten- bzw. Sicherheitsverwaltung. Sind Sie betroffen, empfiehlt D-Trust folgendes Vorgehen:

  1. Beantragen Sie über den bisher genutzten Weg ein neues S/MIME-Zertifikat. Der Austausch ist kostenfrei.
  2. Tauschen Sie das alte Zertifikat in Ihrem E-Mail-Programm oder Ihrem Mailgateway gegen das neue aus.
  3. Bewahren Sie das alte Zertifikat dennoch sicher auf, damit Sie zuvor empfangene verschlüsselte E-Mails auch künftig entschlüsseln können.

Für Organisationen mit mehreren Nutzerzertifikaten ist der Umstellungsaufwand spürbar. Neben der Neubeantragung müssen die Zertifikate verteilt und in der bestehenden IT-Umgebung – etwa in Outlook, Thunderbird, Apple Mail oder einem zentralen E-Mail-Gateway – sauber eingebunden werden.

Einordnung

Der aktuelle Vorgang ist nicht der erste seiner Art: Bereits Anfang April 2026 hatte D-Trust TLS-Serverzertifikate ausgetauscht, die seit dem 15. März 2025 ausgestellt wurden. Hintergrund ist in beiden Fällen die strikte Auslegung der Baseline Requirements durch das CA/Browser Forum, in dem unter anderem die großen Browser-Hersteller die Mindestanforderungen an öffentlich vertrauenswürdige Zertifikate festlegen. Verstöße müssen kurzfristig durch Widerruf und Neuausstellung korrigiert werden – auch dann, wenn von den betroffenen Zertifikaten selbst keine konkrete Gefahr ausgeht. Für Anwenderinnen und Anwender ist das in der Praxis unangenehm, weil die Fristen kurz sind und der Austausch koordiniert werden muss. Strukturell ist das Verfahren aber ein wichtiger Bestandteil des Vertrauensmodells, auf dem der gesamte E-Mail- und Web-Sicherheitsstandard aufbaut.

Unsere Empfehlung

Wenn Sie als Kundin oder Kunde von webhostone ein E-Mail-Postfach für vertrauliche Korrespondenz nutzen, lohnt sich jetzt eine kurze Bestandsaufnahme:

  • Welche S/MIME-Zertifikate sind aktuell in meinen E-Mail-Clients und auf welchen Endgeräten eingebunden?
  • Stammen diese von D-Trust und fallen sie unter die genannten Produktnamen?
  • Habe ich ein dokumentiertes Verfahren, mit dem ich alte Zertifikate archiviere, statt sie zu löschen?

Den offiziellen Hinweis von D-Trust einschließlich Antragswegen und FAQ finden Sie unter www.d-trust.net/de/support/personenzertifikate. Bei Fragen zur Einbindung neuer S/MIME-Zertifikate in Ihre E-Mail-Konten bei webhostone unterstützt Sie unser Team gerne mit konkreten Konfigurationsanleitungen.

Zurück
Cookie Extension Logo