HOT UPDATE

SwissSign hat angekündigt, die Client Authentication (clientAuth) EKU voraussichtlich bis Ende Januar 2027 aus öffentlichen SSL-Zertifikaten zu entfernen. Hintergrund sind aktualisierte Anforderungen des Google Chrome Root Programs, die eine klare Trennung zwischen Server-Authentifizierung und Client-Authentifizierung vorschreiben.

Die ursprünglich für Mitte 2026 geplante Frist wurde von Google inzwischen auf den 15. März 2027 verschoben. SwissSign plant die technische Umsetzung bereits einige Wochen früher.

WAS IST NEU?

Öffentliche TLS/SSL-Zertifikate von SwissSign können künftig nicht mehr für Client-Authentifizierung, beispielsweise bei mTLS-, VPN- oder Geräteauthentifizierungs-Szenarien, verwendet werden. Betroffen sind alle öffentlichen SSL-Zertifikate, die bislang sowohl Server Authentication als auch Client Authentication enthalten haben.

WAS MUSS ICH TUN?

Wenn Sie SSL-Zertifikate ausschließlich für die klassische Server-Absicherung verwenden, besteht kein Handlungsbedarf.

Wenn Sie jedoch Zertifikate für Client-Authentifizierung einsetzen, sollten Sie frühzeitig alternative Lösungen planen.

SwissSign empfiehlt hierfür insbesondere:
den Einsatz von privaten Zertifikaten / Private PKI-Lösungen
oder geeignete S/MIME-Zertifikate mit Authentifizierungsfunktion

Wir empfehlen, bestehende Umgebungen und Zertifikatsprofile rechtzeitig zu prüfen, um eine reibungslose Umstellung bis Anfang 2027 sicherzustellen.

Sichere E-Mail-Kommunikation ist heute unverzichtbar. Doch gerade bei S/MIME-Zertifikaten stehen viele Unternehmen vor großen Herausforderungen: Manuelle Prozesse, steigende Zertifikatsmengen und komplexe Anforderungen an Verwaltung und Bereitstellung sorgen für hohen Aufwand.

Mit der zunehmenden Bedeutung von Automatisierung und Cloud-Integration wird ein effizientes Zertifikatsmanagement immer wichtiger.

In unserem Partnerwebinar „S/MIME Automatisierung in der Azure Cloud mit certEntra“ am 10.06.2026 um 10:00 Uhr, zeigen wir Ihnen gemeinsam mit unserem Partner Secardeo, wie Sie Ihr S/MIME-Zertifikatsmanagement in der Microsoft Azure Umgebung automatisiert und skalierbar gestalten können.

Das erwartet Sie:
✅ Aktuelle Herausforderungen rund um S/MIME-Zertifikate
✅ Wie Sie S/MIME-Zertifikate in der Azure Cloud automatisiert verwalten 
✅ Vorstellung von certEntra und seine Integrationen in Entra ID, Intune & M365
✅ Live-Demo: Automatische Registrierung, Verteilung & Verlängerung

Dr. Gunnar Jacobson von Secardeo und unser Head of Support, Niklas Fritscher, zeigen Ihnen praxisnah, wie Sie Ihre Prozesse modernisieren und von automatisierten Lösungen profitieren können.
 

JETZT ANMELDEN

Im Zuge neuer Anforderungen des CA/Browser-Forums wird die MPIC-Validierung (Multi-Perspective Issuance Corroboration) weiter ausgebaut. Diese Methode dient dazu, die Domainkontrolle aus mehreren Netzwerkstandorten zu überprüfen und Manipulationen zu verhindern.

WAS IST NEU?

Ab dem Zeitraum 01. Juni 2026 bis spätestens 14. Juni 2026 wird die Anzahl der erforderlichen Netzwerkstandorte erhöht. Künftig müssen Domains aus mindestens vier verschiedenen Netzwerkstandorten validiert werden (bisher drei). Dabei wird insbesondere auf eine konsistente DNS-Auflösung sowie globale Erreichbarkeit geachtet.

WAS MUSS ICH TUN?

In den meisten Fällen besteht kein unmittelbarer Handlungsbedarf. Wir empfehlen jedoch, Ihre DNS-Konfiguration zu prüfen und sicherzustellen, dass Ihre Domains weltweit konsistent erreichbar sind und keine blockierenden Netzwerkregeln bestehen.
 

Die Zertifizierungsstelle D-Trust hat uns über einen notwendigen Austausch bestimmter S/MIME-Zertifikate informiert.

Hintergrund ist ein formaler Fehler in den betroffenen Zertifikaten. Es bestehen jedoch keine sicherheitsrelevanten Risiken. Aufgrund der Vorgaben des CA/Browser Forums ist D-Trust dennoch verpflichtet, die betroffenen Zertifikate kurzfristig zu widerrufen.

Aus diesem Grund ist es erforderlich, die betroffenen Zertifikate zu ersetzen. Die aktuell noch gültigen Zertifikate werden am 08. Mai 2026 um 15:00 Uhr widerrufen.

Betroffene Kunden werden von uns separat informiert, sofern konkreter Handlungsbedarf besteht.

Nachfolgend erhalten Sie weitere Informationen rund um den Zertifikatsaustausch.

Betroffene D-Trust S/MIME-Zertifikate

Vom Austausch betroffen sind alle aktuell gültigen Zertifikate der folgenden Produkte: 
• D-Trust Advanced Personal eID
• D-Trust Advanced Enterprise SIG ID
• D-Trust Advanced Team ID
• D-Trust Advanced Enterprise ID

Bitte beachten Sie, dass diese Produkte von D-Trust bereits eingestellt wurden und nicht mehr neu bestellt werden können.

Bitte planen Sie den Austausch rechtzeitig ein, um Unterbrechungen im E-Mail-Verkehr zu vermeiden.

Hinweis:
Die neuen S/MIME-Produkte von D-Trust unterstützen keine PDF-Signatur bzw. sind nicht bei Adobe als vertrauenswürdig eingestuft.  D-Trust prüft aktuell die Optionen hinsichtlich Dokumentensignatur. Neuigkeiten zu diesem Thema werden in unserem Hot-Update veröffentlicht.

Was ist zu tun?

Sofern Sie weiterhin ein S/MIME-Zertifikat benötigen, ist ein Wechsel auf ein alternatives Produkt erforderlich.

Gehen Sie dazu bitte wie folgt vor:
 
• Bestellen Sie ein entsprechendes Ersatzzertifikat über Ihre gewohnte Oberfläche (PSW Konsole oder Website)

• Ersetzen Sie Ihr bestehendes Zertifikat schnellstmöglich

• Bewahren Sie Ihr bisheriges Zertifikat weiterhin auf, um bereits empfangene E-Mails weiterhin entschlüsseln zu können

Verfügbare Ersatzprodukte

Wir empfehlen Ihnen folgende Alternativprodukte aus unserem Portfolio:

D-Trust Advanced Personal eID → D-Trust S/MIME Individual eID

D-Trust Advanced Enterprise SIG ID → D-Trust S/MIME Organisation Individual SIG ID

D-Trust Advanced Team ID → D-Trust S/MIME Organisation ID

D-Trust Advanced Enterprise ID → D-Trust S/MIME Organisation Individual

DigiCert hat angekündigt, bestimmte Intermediate-Zertifikate (ICA) sowie Cross-Signed Root-Zertifikate zu widerrufen. Hintergrund ist die Umstellung von bisherigen Multipurpose-Root-Zertifikaten (G2/G3) auf neue, zweckgebundene TLS-Root-Hierarchien gemäß den Bestimmungen des CA/Browser-Forums.

WAS IST NEU?

Im Zuge dieser Umstellung werden bestehende Zertifikatsketten angepasst. Bestimmte Intermediate-Zertifikate sowie Cross-Signed Root-Zertifikate werden widerrufen und durch neue Zertifikatsketten ersetzt.

Zertifikate, die noch auf den bisherigen Zertifikatsketten basieren, müssen auf die neuen Intermediate- und Root-Zertifikate umgestellt werden. Die Umstellung der Zertifikatskette muss bis spätestens 15. Mai 2026 erfolgen.

Folgende Intermediate- und Cross-Signed Root-Zertifikaten sind von den Änderungen betroffen.

WAS MUSS ICH TUN?

Wir empfehlen, Ihre eingesetzten Zertifikate und deren Zertifikatskette frühzeitig zu überprüfen und bei Bedarf auf die neuen Zertifikatsketten umzustellen. Achten Sie insbesondere darauf, dass keine veralteten Cross-Signed Root-Zertifikate mehr verwendet werden.

Hinweis: Betroffene Kunden werden von uns separat informiert, sofern konkreter Handlungsbedarf besteht.

Im Rahmen neuer Vorgaben von Google Chrome und des CA/Browser-Forums wird das Certificate Transparency (CT) Logging für öffentliche SSL-Zertifikate weiter verschärft.

WAS IST NEU?

Ab dem 01. Juni 2026 wird das CT Logging für alle öffentlich vertrauenswürdigen SSL/TLS-Zertifikate verpflichtend. Die bisherige Möglichkeit, das Logging zu deaktivieren (Opt-out), entfällt vollständig.

Alle neu ausgestellten öffentlichen TLS-Zertifikate müssen künftig in mindestens einem öffentlichen CT-Log veröffentlicht werden. Ziel der Änderung ist es, fehlerhafte oder missbrauchte Zertifikate schneller zu erkennen.

WAS MUSS ICH TUN?

In den meisten Fällen besteht kein Handlungsbedarf. Wenn Sie bislang Zertifikate ohne CT-Logging eingesetzt haben, sollten Sie beachten, dass dies künftig nicht mehr möglich ist.
 

DigiCert informiert über Änderungen an den DigiCert ONE-Endpunkten. Ziel ist es, die Verfügbarkeit und Performance der Dienste weiter zu verbessern.

WAS IST NEU?

Ab dem 26. Mai 2026 um 17:00 Uhr UTC (10:00 MST) werden die folgenden DigiCert ONE-Endpunkte über ein CDN ausgeliefert:

• ocsp.one.digicert.com
• crl.one.digicert.com
• cacerts.one.digicert.com

Diese Endpunkte werden künftig nicht mehr über eine feste IP-Adresse erreichbar sein, sondern dynamisch über mehrere IPv4- und IPv6-Adressen aufgelöst.

WAS MUSS ICH TUN?

Wenn Sie keine IP-Allowlist verwenden:
Es sind keine Maßnahmen erforderlich.

Wenn Sie IP-Allowlists nutzen:
Aktualisieren Sie Ihre Firewalls, Proxys oder Sicherheitsgruppen, sodass die dynamischen IP-Adressen des CDN-Anbieters zugelassen werden.

Wenn Sie eigene Hostnamen verwenden:
Prüfen Sie Ihre Konfiguration und wenden Sie sich bei Bedarf an uns, um die korrekte Einbindung sicherzustellen.
 

GlobalSign hat angekündigt, seine Root- und Intermediate-Zertifizierungsstellen für öffentlich vertrauenswürdige SSL-Zertifikate anzupassen. Hintergrund sind neue Anforderungen der Root-Programme von Google Chrome und Mozilla, die eine stärkere Trennung der Verwendungszwecke von Zertifikaten vorschreiben.

WAS IST NEU?

GlobalSign führt neue, speziell für SSL-Zertifikate vorgesehene Root-Zertifizierungsstellen ein:

GlobalSign Root R46 (RSA)
GlobalSign Root E46 (ECC)

Ab dem 27. Juli 2026 werden alle neuen SSL-Zertifikate über diese neuen Vertrauensketten ausgestellt.

Im Zuge dieser Umstellung dürfen SSL-Zertifikate künftig nur noch die Server Authentifizierung (serverAuth) enthalten. Die Nutzung der Client Authentifizierung (clientAuth) in öffentlichen SSL-Zertifikaten entfällt.

WAS SIND DIE AUSWIRKUNGEN?

Neue SSL-Zertifikate werden ab Juli 2026 über die neuen Root-Zertifizierungsstellen ausgestellt

Bestehende Zertifikate bleiben bis zum Ablauf gültig und vertrauenswürdig. Anwendungen und Systeme sollten auf Kompatibilität mit den neuen Zertifikatsketten geprüft werden.

Auf dieser Seite finden Sie Informationen zur dedizierten Root-CA von GlobalSign TLS.

WAS MUSS ICH TUN?

Aktuell besteht kein unmittelbarer Handlungsbedarf. Wir empfehlen jedoch, Ihre Systeme und Anwendungen frühzeitig zu testen, um die Unterstützung der neuen Vertrauenskette sicherzustellen.

Bei Bedarf können Zertifikatsprofile bereits vor dem Stichtag auf die neuen Root-Zertifizierungsstellen umgestellt werden.

Wenn Sie weiterhin Zertifikate benötigen, die neben der Server Authentifizierung auch die Client Authentifizierung (clientAuth) enthalten, wenden Sie sich an unseren Support. Wir beraten Sie gerne zu verfügbaren Alternativen sowie zukünftigen Lösungen.

Mit unseren neuen IoT PKI Lösungen erweitern wir unser Portfolio im Bereich digitaler Sicherheit. Angesichts der stark wachsenden Zahl vernetzter Geräte – Prognosen gehen von bis zu 125 Milliarden IoT-Geräten bis 2030 aus – wird eine sichere Identifikation und Authentifizierung immer wichtiger.

IoT PKI – Sicherheit für das Internet of Things

IoT-Zertifikate ermöglichen die eindeutige Identifikation und Authentifizierung von Geräten und bilden damit die Grundlage für eine sichere Kommunikation im Internet of Things. Gerade in Bereichen wie Industrie, Logistik, Energie, Automotive oder Smart Home steigen die Anforderungen an Sicherheit und Skalierbarkeit kontinuierlich.

Gemeinsam mit unseren Partnern bieten wir Ihnen eine individuell zugeschnittene IoT PKI Lösung zur Verwaltung und zum Management Ihrer IoT-Zertifikate – flexibel, skalierbar und auf Ihre Anforderungen abgestimmt.
 

Jetzt kostenlose Beratung anfragen
 

Die Zertifizierungsstelle DigiCert hat uns über bevorstehende Anpassungen ihrer Preise für digitale Zertifikate informiert.

Die Änderungen treten zum 10. April 2026 in Kraft und gelten gleichermaßen für Wiederverkäufer, Partner sowie Endkundinnen und Endkunden.

Vor diesem Hintergrund werden auch wir unsere Preise entsprechend aktualisieren.

Überblick der Preisänderungen

DV-SSL-Zertifikate
Keine Preisänderung für Sie

Hinweis: DigiCert erhöht in diesem Bereich zwar ebenfalls die Preise, wir halten die Konditionen für diese Produktkategorie jedoch bewusst stabil.

Thawte Platinum (SSL WebServer) & GeoTrust True BusinessID
Preisanpassung von 10 %

Alle weiteren Produktkategorien der DigiCert-Produktfamilie
Preisanpassung von 15 %

Die neuen Konditionen gelten für alle Bestellungen ab dem 10. April 2026 und betreffen alle Laufzeiten der Produkte.

Mit DigiCert setzen Sie weiterhin auf eine der weltweit führenden Zertifizierungsstellen im Bereich digitaler Sicherheit. Die Anpassungen spiegeln die kontinuierliche Weiterentwicklung von Sicherheitsstandards und Infrastruktur wider.

DigiCert hat bekannt gegeben, dass der Termin zur Entfernung der Client Authentication Extended Key Usage (clientAuth EKU) aus öffentlichen SSL/TLS-Zertifikaten verschoben wird. Die Funktion wird nun erst ab dem 1. März 2027 entfernt (zuvor war der 1. Mai 2026 vorgesehen).

WAS IST NEU?

Die clientAuth-EKU wird künftig nicht mehr Bestandteil öffentlicher TLS-Zertifikate sein. DigiCert verschiebt diese Änderung jedoch um rund ein Jahr, um Kunden zusätzliche Zeit für die Umstellung zu geben.

Die Anpassung erfolgt aufgrund der aktualisierten Google-Chrome-Root-Programmanforderungen, die eine stärkere Trennung zwischen Server-Authentifizierung und Client-Authentifizierung vorsehen.

Die Änderung betrifft alle öffentlichen TLS-Zertifikate von DigiCert, einschließlich:

DV-, OV- und EV-TLS-Zertifikate
EU Qualified Website Authentication Certificates (QWAC)
QWAC-PSD2 Zertifikate
sowie alle DigiCert-Marken wie DigiCert, GeoTrust, Thawte und RapidSSL

WAS SIND DIE AUSWIRKUNGEN?

Unternehmen, die TLS-Zertifikate für Client-Authentifizierung oder mTLS-Szenarien einsetzen, können diese Funktion nun noch bis zum 1. März 2027 in öffentlichen Zertifikaten nutzen.

Danach wird die Client-Authentifizierung aus öffentlichen TLS-Zertifikaten entfernt und muss über alternative Lösungen umgesetzt werden.

Hier hat DigiCert mit den „X9-Zertifikaten“ bereits ein alternatives Produkt angekündigt. Dieses wird auch über uns die Managed IP angeboten werden.

WAS MUSS ICH TUN?

Wenn Sie SSL-Zertifikate nicht für Client-Authentifizierung verwenden, besteht kein Handlungsbedarf.

Wenn Sie Client-Authentifizierung nutzen, sollten Sie frühzeitig eine alternative Lösung planen.
 

Liebe Kundinnen und Kunden,

die deutsche Zertifizierungsstelle D-Trust hat wichtige Informationen zu seinen Produkten und Preisen bekannt gegeben. Hintergrund sind die branchenweiten Anpassungen des CA/Browser Forums sowie produktspezifische Änderungen seitens D-Trust.

Die Änderungen von D-Trust haben zur Folge, dass wir unser Produktportfolio anpassen müssen. Die Änderungen gelten bereits ab morgen, dem 11. März 2026.

Einführung von 199-Tage-Zertifikaten

Ab dem 15. März 2026 wird die maximale Laufzeit öffentlich vertrauenswürdiger SSL/TLS-Zertifikate branchenweit auf 200 Tage verkürzt.

Das zentrale Ziel: Die Verbesserung der Sicherheit und die Begrenzung von potenziellen Sicherheitslücken durch abgelaufene Zertifikate.

Im Zuge der branchenweiten Vorgaben des CA/Browser-Forums setzt D-Trust die Verkürzung der Laufzeit bereits zum 11. März 2026 um. Ab diesem Datum werden D-Trust SSL-Zertifikate mit einer maximalen Gültigkeit von 199 Tagen ausgestellt.

Bitte beachten Sie, dass von der Änderung nur neue und erneuerte SSL-Zertifikate betroffen sind. Bestehende Zertifikate bleiben bis zu ihrem Ablaufdatum gültig und vertrauenswürdig.

Neue S/MIME-Produkte

Wir haben unser Produktportfolio im Bereich S/MIME erweitert: Mit dem D-Trust S/MIME ID steht Ihnen ab sofort ein einfaches Einsteigerzertifikat zur Verfügung, mit dem sich E-Mails zuverlässig signieren und verschlüsseln lassen.

Für Behörden und Organisationen mit erhöhten Sicherheitsanforderungen bietet das neue D-Trust VSNFD Organization Individual ID eine spezialisierte Lösung für den Umgang mit Informationen der Einstufung VS-NfD.  

Preissenkungen bei D-Trust-Produkten

Aufgrund unserer langjährigen und stetig wachsenden Partnerschaft mit D-Trust freuen wir uns, Ihnen eine positive Entwicklung weitergeben zu können: Durch die enge Zusammenarbeit war es uns möglich, bessere Konditionen zu verhandeln. Diesen Vorteil, geben wir gerne direkt an unsere Kundinnen und Kunden weiter.

Daher passen wir die Preise für D-Trust SSL- und S/MIME-Zertifikate in unserem Portfolio an und können diese ab dem 11. März 2026 zu günstigeren Konditionen anbieten.

Gerade im Bereich SSL/TLS eröffnet dies zusätzliche Möglichkeiten, Webseiten und Server mit Zertifikaten der bekanntesten deutschen Zertifizierungsstelle abzusichern – Sicherheit „Made in Germany“ zu attraktiveren Preisen.

Die neuen Preise gelten für alle D-Trust SSL- und S/MIME-Zertifikate, die ab dem 11. März 2026 bestellt werden.

Abkündigung von ECC-Produkten

Aufgrund von zu geringer Nachfrage wird D-Trust zudem die EC-Varianten der folgenden Produkte einstellen:

D-Trust Qualified TLS PSD2 ID
D-Trust Qualified Seal PSD2 ID

Die Änderungen gelten zum 29.05.2026 und betreffen nur neu ausgestellte und erneuerte D-Trust SSL-Zertifikate.

GlobalSign stellt im Zuge neuer Compliance-Vorgaben seine Root- und CA-Hierarchien um.

S/MIME:

Ab dem 24. Februar 2026 erfolgt die Ausstellung über die dedizierte GlobalSign Secure Mail Root R45. Neue S/MIME-Zertifikate können ausschließlich zum Signieren und Verschlüsseln von E-Mails verwendet werden. Zusätzliche Funktionen wie Client-Authentifizierung oder das Signieren von Office-Dokumenten entfallen. Wenn Sie die Zertifikatskette manuell hinterlegt haben, stellen Sie bitte sicher, dass diese bis zum Stichtag auf die neue Root- und Intermediate-Kette aktualisiert wird.

Code Signing / Timestamping:

Seit Dezember 2025 werden Timestamps über die neue CA GlobalSign Offline R45 Timestamping CA 2025 ausgestellt. Ab dem 4. März 2026 werden bestehende Timestamp-URLs auf die neue Infrastruktur weitergeleitet. Die frühzeitige Umstellung auf die neuen URLs wird empfohlen.

Neue Timestamp-URLs:

• RFC 3161: timestamp.globalsign.com/tsa/r45standard
• Microsoft Authenticode: timestamp.globalsign.com/tsa/r45standard

Ab dem 4. März 2026 werden bestehende URLs automatisch auf die neue Infrastruktur weitergeleitet.

Ab dem 24. Februar 2026 müssen Zertifizierungsstellen bei Domains mit aktiviertem DNSSEC eine erfolgreiche DNSSEC-Validierung im Rahmen der Domain Control Validation sowie bei CAA-Prüfungen durchführen.

Wen betrifft die Änderung?

Betroffen sind ausschließlich Domains mit aktiviertem DNSSEC. Ist die DNSSEC-Konfiguration fehlerhaft, können ab dem Stichtag keine Zertifikate mehr ausgestellt werden. Domains ohne DNSSEC sind nicht betroffen.

Was ist jetzt zu tun?

Wenn Sie DNSSEC einsetzen, prüfen Sie Ihre DNSSEC-Konfiguration rechtzeitig und beheben Sie mögliche Fehler. Wenden Sie sich bei Bedarf an Ihren DNS-Provider. DigiCert stellt hierfür ein DNSSEC-Prüftool unter sowie weiterführende Informationen zur Verfügung.

Bei Fragen unterstützt Sie unser Support-Team gerne.

Sectigo hat wichtige Informationen über die Reduzierung der Gültigkeit von Code Signing Zertifikaten bekannt gegeben.

WAS IST NEU?

Ab dem 1. März 2026 wird die maximale Gültigkeitsdauer für Code Signing Zertifikate branchenweit von 39 Monaten auf 460 Tage verkürzt. Sectigo beginnt mit der Verkürzung bereits vor der branchenweiten Frist:

Einführung der neuen Vorschriften bei Sectigo ab dem 23. Februar 2026
Ab dem 23. Februar 2026 stellt Sectigo Code Signing Zertifikate nur noch mit einer maximalen Gültigkeitsdauer von 459 Tagen (15 Monate) aus.

Letzter Bestelltag für mehrjährige tokenbasierte Code Signing Zertifikate
Bis einschließlich 15. Februar 2026 können noch 2- und 3-Jahres Sectigo Code Signing Zertifikate mit Hardware-Token bestellt werden.
Ab dem 23. Februar 2026 werden keine mehrjährigen tokenbasierten Code Signing Zertifikate mehr ausgegeben.

WAS MUSS ICH TUN?

Aktuelle Sectigo Code Signing Zertifikate bleiben bis zu ihrem Ablaufdatum gültig.

Sie müssen unmittelbar keine Maßnahmen ergreifen. Wir raten Ihnen jedoch, Ihren Zertifikatsbestand zu prüfen und sich bei Bedarf noch ein 2- oder 3-Jahres Sectigo Code-Signing-Zert
 

Die ersten Laufzeitkürzungen bei SSL-Zertifikaten stehen kurz bevor: Weitere Zertifizierungsstellen (CAs) beginnen nun damit, die Änderungen final umzusetzen.

Die Änderung hin zu einer kürzeren Gültigkeitsdauer ist eine branchenweite Anforderung, die vom CA/Browser Forum beschlossen wurde. Zentrale Ziel der Änderung ist es, die Sicherheit zu verbessern und das Zeitfenster für potenzielle Sicherheitslücken zu begrenzen.

WAS IST NEU?

Im Zuge der branchenweiten Vorgaben des CA/Browser-Forums setzen weitere Zertifizierungsstellen konkrete Schritte zur Verkürzung der SSL-Zertifikatslaufzeiten um.

Zusammenfassend finden Sie die wichtigsten Deadlines der Zertifizierungsstellen (CAs)

DigiCert

• Maximale Zertifikatslaufzeit: 199 Tage
• Umsetzung ab dem 24. Februar 2026
• Gilt für alle neu ausgestellten und erneuerten TLS/SSL-Zertifikate

Sectigo

• Maximale Zertifikatslaufzeit: 199 Tage
• Umsetzung ab dem 12. März 2026
• Gilt für alle neu ausgestellten und erneuerten TLS/SSL-Zertifikate

Certum

• Maximale Zertifikatslaufzeit: 199 Tage
• Umsetzung ab dem 13. März 2026
• Gilt für alle neu ausgestellten und erneuerten TLS/SSL-Zertifikate

GlobalSign

• Maximale Zertifikatslaufzeit: 199 Tage
• Umsetzung ab dem 15.März 2026
• Gilt für alle neu ausgestellten und erneuerten TLS/SSL-Zertifikate

D-Trust

• Maximale Zertifikatslaufzeit: 199 Tage
• Umsetzung ab Mitte März
• Gilt für alle neu ausgestellten und erneuerten TLS/SSL-Zertifikate

SwissSign

• Maximale Zertifikatslaufzeit: 198 Tage
• Umsetzung ab dem 09.März 2026
• Gilt für alle neu ausgestellten und erneuerten TLS/SSL-Zertifikate

WAS SIND DIE AUSWIRKUNGEN?

Bestehende Zertifikate:
Aktuelle SSL-Zertifikate der jeweiligen Zertifikatsstellen bleiben bis zu ihrem Ablaufdatum gültig.

Neue und erneuerte Zertifikate:
Nach den Stichtagen der jeweiligen CAs werden neu ausgestellte oder erneuerte SSL-Zertifikate mit einer Gültigkeit von 198 oder 199 Tagen ausgestellt.

WAS MUSS ICH TUN?

Aktuell besteht kein unmittelbarer Handlungsbedarf. Aufgrund der künftig deutlich kürzeren Zertifikatslaufzeiten empfehlen wir jedoch, Ihre bestehenden Prozesse und Ihren Zertifikatsbestand frühzeitig zu überprüfen und auf Automatisierungslösungen umzustellen.

Wir bieten Ihnen weiterhin die Möglichkeit, mit Zertifikatspaketen eine längere Produktlaufzeit – beispielsweise ein Jahr – abzudecken, auch wenn die einzeln ausgestellten Zertifikate künftig kürzere Laufzeiten haben.

Bereits jetzt ist beschlossen, dass ab März 2027 die Gültigkeitsdauer nur noch 100 Tage und 2029 sogar nur 47 Tage betragen wird.

DigiCert hat über branchenweite Änderungen bezüglich der Reduzierung der Gültigkeit von Code Signing-Zertifikaten informiert.

WAS IST NEU?

DigiCert hat folgenden Zeitplan bezüglich der neuen Gültigkeitsdauer bekannt gegeben.

Branchenweite Änderung ab dem 1. März 2026
Ab dem 1. März 2026 wird die maximale Gültigkeitsdauer für Code Signing-Zertifikate branchenweit von 39 Monaten auf 460 Tage verkürzt.

Einführung der neuen Vorschriften bei DigiCert ab dem 24. Februar 2026
DigiCert wird die neuen Vorschriften bereits ab dem 24. Februar 2026 umsetzen. Ab diesem Datum haben DigiCert Code Signing-Zertifikate eine maximale Gültigkeitsdauer von 459 Tagen (statt bisher 39 Monaten).

Bis zum 24. Februar 2026 können Sie weiterhin 2-Jahres- und 3-Jahres DigiCert Code Signing-Zertifikate bei uns bestellen, erneuern und verlängern. Die Ausstellung muss jedoch vor dem 24. Februar 2026 erfolgen um noch die vollen 2 oder 3 Jahre am Stück zu erhalten.

Nach diesem Datum sind nur noch DigiCert Code Signing-Zertifikate mit einer maximalen Gültigkeitsdauer von einem Jahr bei uns bestellbar.

WAS SIND DIE AUSWIRKUNGEN?

Bestehende Zertifikate: Aktuelle Code Signing-Zertifikate bleiben bis zu ihrem Ablaufdatum gültig. Wenn sie über 2- oder 3-Jahres-Zertifikate verfügen, haben sie bis zum 24. Februar Zeit, diese mit ihrer bestehenden Gültigkeit neu ausstellen zu lassen.

Neue und erneuerte Zertifikate: Ab dem 24. Februar werden nur noch DigiCert Code Signing-Zertifikate von maximal einem Jahr ausgestellt.

WAS SIND DIE GRÜNDE FÜR DIE ÄNDERUNG?

Die Änderung hin zu einer kürzeren Gültigkeitsdauer ist eine branchenweite Anforderung, die vom CA/Browser Forum beschlossen wurde. Ziel ist es, die Sicherheit zu verbessern und das Zeitfenster für potenzielle Sicherheitslücken zu begrenzen.

WAS MUSS ICH TUN?

Sie müssen unmittelbar keine Maßnahmen ergreifen. Wir raten Ihnen jedoch, Ihren Zertifikatsbestand zu prüfen und sich bei Bedarf noch ein 2- oder 3-Jahres DigiCert Code-Signing-Zertifikat zu sichern.
 

GlobalSign hat über wichtige branchenweite Änderungen bezüglich der Reduzierung der Gültigkeit von Code Signing-Zertifikaten informiert. Die neuen Vorschriften wurden vom CA Browser (CA/B) Forum beschlossen und treten am 1. März 2026 branchenweit in Kraft.

WAS IST NEU?

GlobalSign hat für die Änderungen bei Code Signing-Zertifikaten folgenden Zeitplan veröffentlicht:

Branchenweite Änderung ab dem 1. März 2026
Ab dem 1. März 2026 wird die maximale Gültigkeitsdauer für Code Signing-Zertifikate branchenweit von 39 Monaten auf 460 Tage verkürzt.

Einführung der neuen Vorschriften bei GlobalSIgn ab dem 26. Dezember 2025
GlobalSign wird die neuen Vorschriften bereits ab dem 26. Dezember 2025 umsetzten Bis zu diesem Datum können noch 2-Jahres- und 3-Jahres Code Signing-Zertifikaten bestellt werden. Beachten Sie bitte, dass ab diesem Datum in unserem Portfolio nur noch GlobalSign Code-Signing-Zertifikate mit einer maximalen Gültigkeitsdauer von einem Jahr verfügbar sein werden.

Die Ausstellung von bestellten  2-Jahres- und 3-Jahres GlobalSign Code Signing-Zertifikaten muss bis zum 24. Februar 2026  abgeschlossen sein.

Alle nach diesem Datum ausgestellten oder erneuerten Code-Signing-Zertifikate, werden höchstens noch mit einem Jahr Laufzeit ausgestellt.

WAS SIND DIE AUSWIRKUNGEN?

Bestehende Zertifikate: Aktuelle Code Signing-Zertifikate bleiben bis zu ihrem Ablaufdatum gültig. Wenn sie über 2- oder 3-Jahres-Zertifikate verfügen, haben sie bis zum 24. Februar Zeit, diese mit ihrer bestehenden Gültigkeit neu ausstellen zu lassen. 

Neue und erneuerte Zertifikate: Ab dem 24. Februar werden nur noch GlobalSign Code SIgning-Zertifikate von einem Jahr ausgestellt.

WAS MUSS ICH TUN?

Sie müssen unmittelbar keine Maßnahmen ergreifen. Wir raten Ihnen jedoch, Ihren Zertifikatsbestand zu prüfen und sich bei Bedarf noch ein 2- oder 3-Jahres GlobalSign Code-Signing-Zertifikat zu sichern.
 

Ab dem 7. Oktober 2025 wird Sectigo in SSL/TLS-Zertifikaten das EKU-Attribut Client Authentication nicht mehr standardmäßig ausstellen. Spätestens ab dem 15. Mai 2026 entfällt es vollständig.

Grund für die Änderung: Neue Sicherheitsanforderungen von Root-Programmen, insbesondere durch Google Chrome.

WAS ÄNDERT SICH?

Bisher enthielten SSL/TLS-Zertifikate sowohl die Kennung für Server Authentication als auch für Client Authentication. Ab dem 7. Oktober 2025 wird Client Authentication nicht mehr automatisch hinzugefügt.

Ab dem 15. Mai 2026 ist die Client Authentication EKU in neu ausgestellten Zertifikaten vollständig entfernt.

WAS IST ZUTUN?

Wenn Sie SSL/TLS-Zertifikate nicht für Client Authentication einsetzen (z. B. mTLS oder Server-zu-Server-Kommunikation): Kein Handlungsbedarf.

Wenn Sie Zertifikate für Client Authentication nutzen: Prüfen Sie zeitnah alternative Lösungen. Sectigo empfiehlt insbesondere den Einsatz einer Private PKI, um mTLS oder vergleichbare Szenarien weiterhin abzusichern.
 

Zu den Änderungen bei den D-Trust S/MIME-Zertifikaten haben wir bereits in früheren Webinaren informiert. Nun liegt eine finale Entscheidung von D-Trust zu den Produktänderungen vor: Die PDF-Signierung mit S/MIME-Zertifikaten wird künftig nicht mehr möglich sein.

In unserem nächsten Webinar „Aktuelle Produktänderungen erklärt - Final Run für PDF-Signing“ am 25.09.2025 um 10:00 Uhr, zeigen wir Ihnen, wie Sie jetzt am besten vorgehen und welche Alternativen es gibt.

Das erwartet Sie:
✅ Die D-Trust S/MIME-Änderungen im Überblick
✅ Final Run für PDF-Signing
✅ Danach: PDF-Signierung mit S/MIME-Zertifikaten nicht mehr möglich
✅ Alternativen zum PDF-Signing

Unser Head of Support, Niklas Fritscher, wird in dem Webinar ausführlich auf das Thema eingehen und Ihre Fragen zu den Änderungen beantworten.

Jetzt zum Webinar anmelden

Was bedeutet ELS?
Über das Extended Lifecycle Support (ELS)-Programm stellt Plesk – in Zusammenarbeit mit TuxCare – kritische Sicherheits-Patches bereit. So bleibt Ihre Plesk-Installation stabil und sicher, auch wenn das zugrunde liegende Betriebssystem keinen Herstellersupport mehr hat. Zusätzlich erhalten Sie weiterhin Plesk-Updates und Support.

Kosten & Abrechnung
• Zusatzgebühr: ELS ist eine monatliche Zusatzleistung von Plesk.
• Transparenz: Wir stellen ELS monatlich in Rechnung, wenn wir von Plesk die Info haben, dass ein ELS-pflichtiges Betriebssystem im Einsatz ist. Die Position erscheint klar ausgewiesen auf der nächsten Rechnung.

Unsere Empfehlung
Planen Sie mittelfristig ein Upgrade auf ein aktuelles Betriebssystem, um ELS-Kosten zu vermeiden und die Gesamtsicherheit zu erhöhen.

Woran erkenne ich, ob ich betroffen bin?
• Ihre Plesk-Instanz läuft auf einem der oben genannten EOL-Systeme.

DigiCert wird die Extended Key Usage (EKU) „Client Authentication“ schrittweise aus öffentlichen TLS-Zertifikaten entfernen. Diese Änderung basiert auf neuen Anforderungen der Root-Programme der Browser und betrifft insbesondere Mutual TLS (mTLS), serverbasierte Authentifizierungen und vergleichbare Anwendungsfälle.

Was ändert sich?

• Bereits jetzt: Öffentliche TLS-Zertifikate enthalten sowohl Server- als auch Client Authentication EKUs.
• Ab dem 1. Oktober 2025: Die Client Authentication EKU wird standardmäßig nicht mehr enthalten sein, kann jedoch bei der Zertifikatsbestellung manuell ausgewählt werden.
• Ab dem 1. Mai 2026: Die Client Authentication EKU wird vollständig ausgestellt. Manuelle Auswahl ist dann nicht mehr möglich – auch nicht bei Verlängerungen, Neuausstellungen oder Duplikaten.

Diese Änderung betrifft Sie nicht, wenn Ihre SSL/TLS-Zertifikate ausschließlich zur Absicherung von Websites (HTTPS) verwendet werden. DigiCert empfiehlt dennoch, Ihre Zertifikatsprozesse zu überprüfen.

Bei Fragen wenden Sie sich gerne an unseren Support via Telefon, Mail oder den Chat auf unserer Website.

Die europäische Zertifizierungsstelle SwissSign hat angekündigt, ihre Preise zum 1. Oktober 2025 anzupassen. Damit stellen sie sicher, auch künftig höchste Standards in Sicherheit, Qualität und Compliance zu erfüllen – und gleichzeitig auf aktuelle Marktentwicklungen zu reagieren.

Folgende Faktoren haben diese Entscheidung maßgeblich beeinflusst:

• Gestiegene Energiepreise, insbesondere in der Schweiz, wo SwissSign eigene Rechenzentren betreibt
• Erhöhte Anforderungen an Cyber-Security, um der zunehmenden Bedrohungslage wirksam zu begegnen
• Höhere Betriebskosten für Schweizer Infrastruktur, um die gewohnt hohe Servicequalität zu sichern

Was bedeutet das konkret?

• Die Preise für SSL/TLS- sowie S/MIME-Zertifikate steigen um 5 %
• Das Modell für Volumenrabatte wurde vereinfacht und optimiert
• Für MPKI-Kunden gelten die neuen Preise erst bei einer Vertragsverlängerung und frühestens ab dem 1. Oktober 2025 (sofern keine andere Preisbindung vereinbart wurde)

SwissSign ist sich bewusst, dass Preisanpassungen selten auf Begeisterung stoßen und bedauert, diese vornehmen zu müssen. Um Ihnen aber auch künftig stabile Leistungen und verlässliche Lösungen bieten zu können, bedankt sich SwissSign für Ihr Verständnis.

Unser Tipp:

Verlängern Sie Zertifikate frühzeitig oder tätigen Sie neue Bestellungen vor Inkrafttreten der neuen Preise.

Bei Fragen wenden Sie sich gerne an unseren Support via Telefon, Mail oder den Chat auf unserer Website.

GlobalSign hat eine Reihe von Änderungen angekündigt, die bestehende Root-Zertifikate und die Ausstellung neuer SSL/TLS-Zertifikate betreffen. Hintergrund sind aktualisierte Gültigkeitsanforderungen und Richtlinien der Browserhersteller sowie des CA/B-Forums.

Was bedeutet das konkret?

• Ab dem 27. Juli 2026 – Umstellung bei DV-, OV- und EV-Zertifikaten auf neue Root-Zertifikate
• Ab dem 3. Quartal 2026 – Vollständige Umstellung auf neue dedizierte Root-Zertifikate

Auswirkungen auf MPKI-Kunden (Atlas)

Für SSL/TLS-Zertifikate, die über Atlas bezogen werden, plant GlobalSign einen schrittweisen Umstieg auf dedizierte Root-Zertifikate:

• Ab dem 8. Juli 2025 (Q3-Rotation) – Neuer Satz CAs unter den dedizierten TLS-Roots R46 und E46 steht optional zur Verfügung
• Ab dem 3. Quartal 2026 – Die Ausstellung aller DV- und OV-Zertifikate erfolgt ausschließlich über die dedizierten Root-Zertifikate
• Zur Kompatibilität mit bestehenden Systemen werden Cross-Zertifikate bereitgestellt (R3-R46 und R5-E46), die die Rückwärtskompatibilität zu bisherigen Roots R3 und R5 gewährleisten

Die vierteljährliche ICAs-Rotation bleibt bestehen, um Ihnen maximale Flexibilität bei den Root- und CA-Wechseln zu bieten.

Hinweis: GlobalSign weist darauf hin, dass die weitere Nutzung der alten Root-Zertifikate unter Mehrzweck-Roots weiterhin möglich ist, falls keine sofortige Browserkompatibilität mit z. B. Chrome und Firefox erforderlich ist.

Unser Tipp

Prüfen Sie bereits jetzt, ob Anpassungen bei Ihnen notwendig sind oder künftig werden.
→ Sie finden auf der GlobalSign Root Certificates Support-Seite die aktuellen Root-Zertifikate zur Prüfung und Integration.

Bei Fragen wenden Sie sich gerne an unseren Support via Telefon, Mail oder den Chat auf unserer Website.
 

Certum wird am Dienstag, dem 15.07.2025 von 21:00 bis 23:00 Uhr eine Systemaktualisierung für nicht qualifizierte Zertifikate durchführen. 

Während dieses Zeitraums stehen die folgenden Certum-Systeme nicht zur Verfügung:

• CertManager
• API
• API-Mandant
• Enterprise ID

UNSER TIPP:

Alle Zertifikatsaktivitäten wie Bestellungen, Erneuerungen oder Neuausstellungen sollten vor oder nach dem Wartungsfenster erfolgen. Alle Systeme stehen nach Abschluss der Arbeiten wieder wie gewohnt zur Verfügung.

Bei Fragen wenden Sie sich gerne an unseren Support unter +49 661 48027610 oder per E-Mail an support@psw.de.

Sectigo hat uns darüber informiert, dass der telefonische Validierungsanruf für organisationsvalidierte- (OV-) und erweitertvalidierte- (EV-) Zertifikate ab sofort wieder verpflichtend ist. In der Vergangenheit war dieser Anruf bereits Teil des Validierungsprozesses, wurde jedoch zwischenzeitlich durch die Subscriber Agreement-E-Mail ersetzt. Diese bleibt weiterhin bestehen, wird nun jedoch durch den zusätzlichen Anruf ergänzt.