Hallo an alle,

ich war gerade auf der PSW-Webseite für die D-Trust Advanced Personal eID-Zertifikate und dachte, mich tritt ein Pferd – steht da doch zu lesen, diese Zertifikate seien AATL-kompatibel und könnten daher PDFs signieren, also genau das, was D-Trust Ende 2024 einzustellen angekündigt und dann die „endgültige“ Einstellung auf Ende 2025 verschoben hatte, und jetzt steht es nicht nur immer noch auf der PSW-Webseite, sondern viel deutlicher hervorgehoben als bislang, wo die Möglichkeit zur PDF-Signierung mit diesen Zertifikaten immer nur verschämt am Rande erwähnt wurde.

Ich habe natürlich sofort bei PSW angerufen und erfahren, dass sich D-Trust Anfang Januar „kurzfristig“ entschlossen hätte, diese Funktion bis 2028 aufrechtzuerhalten.

Das ist insofern interessant, als sich D-Trust zwar nie wirklich präzise zu der ganzen Problematik äußerte, aber immer den Anschein erweckte, als sei Adobe der Bösewicht, der die Zertifikate aus der AATL schmeißen würde. Wie sich nun herausstellt, hing es in Wahrheit an D-Trust – vermutlich verlangt Adobe für die Aufnahme in die AATL Gebühren, die sich D-Trust sparen wollte, aber offensichtlich hat D-Trust (zu Recht) mächtig Dampf bekommen und ist eingeknickt.

Ihr könnt also bis 2028 (wann genau da, weiß ich nicht) weiter diese Zertifikate zum Signieren von PDFs kaufen (nur 1-jährige Laufzeit) und nutzen, also, wenn der Regierungs-Zeitplan bleibt, definitiv bis zur für 2027 geplanten Einführung der EUDI-Wallet mit den dann hoffentlich ganz neuen, standardisierten Möglichkeiten, PDFs mit der eID des Personalausweises zu signieren. Das ist eine gute Nachricht. 😊

Die seinerzeitigen Anleitungen (Details beim Kaufprozess und in der macOS-GUI können sich seitdem geändert haben):

• PDFs digital signieren – eine Anleitung
• PDFs digital signieren – NACHTRAG 1
• PDFs digital signieren – NACHTRAG 2

Danke für den Hinweis. Die zitierte Bemerkung verstehe ich nicht. Wer setzt D-Trust unter Dampf und warum muss D-Trust vor wem einknicken? Das D-Trust-Angebot ist bislang ja ohne Alternative, weil sonst weit und breit niemand so ein günstiges Zertifikat anbietet.

Ja, eben. Deshalb war es im Sinne der politischen Zielsetzung einer Digitalisierung des Landes völlig kontraproduktiv, diese Funktionalität einzustellen, bevor die EUDI-Wallet verfügbar ist.

D-Trust gehört zwar dem Bund, wird aber als kommerzielles Unternehmen geführt und war als solches offenkundig der Auffassung, dass sich ein Verbleib des Zertifikats in der AATL vom (finanziellen/administrativen/…) Aufwand her nicht lohnt – wie sich durch die „kurzfristige Entscheidung“ D-Trusts jetzt klar zeigt, lag es ja an D-Trusts mangelndem Willen (und nicht an Adobe), dass die durch technische Vorgaben erforderlich gewordene neue Zertifikatskette nicht mehr in die AATL aufgenommen werden sollte.

Da standen also die kommerziellen Erwägungen einer GmbH und die politischen Zielsetzungen ihres Eigners gegeneinander. Die mehrfachen Terminverschiebungen ließen schon erahnen, dass es da im Hintergrund rumorte. Ich gehe davon aus, dass hier von Seiten der Politik interveniert wurde. Die wurde ihrerseits ja vielleicht nachdrücklich von dem einen oder anderen Bürger dazu aufgefordert.

Diejenigen von Euch, die aktuell eine Zertifikat von D-Trust haben, werden schon eine Email bekommen haben und es wissen: D-Trust muss jetzt alle noch gültigen S/MIME-Zertifikate (egal, wann gekauft und wie lange noch gültig), die auch zum Signieren von PDFs geeignet sind, zum Freitag, den 8. Mai widerrufen, weil sie einen formalen Fehler 🙄 in den Zertifikaten gemacht haben. Man kann sich zwar bei PSW kostenfrei Ersatzzertifikate ausstellen lassen, aber die können eben nur noch Emails verschlüsseln und keine PDFs mehr signieren, da deren Zertifikatskette nicht in Adobes AATL gelistet ist.

PSW schreibt, D-Trust prüfe aktuell „die Optionen hinsichtlich Dokumentensignatur“; die Frage ist freilich, was es da zu prüfen gibt – D-Trust müsste eben einfach die Aufnahme in die AATL bei Adobe veranlassen; sie sollten ja wissen, wie das geht. 🙄

Was für ein Chaosladen! Wenn das exemplarisch für die Digitalisierungsbestrebungen Deutschlands sein sollte, dann gute Nacht.

Da Du in der Thematik offensichtlich deutlich tiefer steckst als ich, gibt es eine Empfehlung für einen alternativen »Laden« ?? Hier ploppte die Thematik nämlich gerade am Rande auf und könnte zum abzuarbeitenden Thema werden. Noch nichts im Detail – aber schon mal ein Hauch mehr an Ahnung zu bekommen könnte helfen – Danke.

Sonnige Grüße, C.

Hallo,

als bisheriger langjähriger Nutzer der D-Trust Advanced Personal eID habe ich gestern auch eine E-Mail der PSW GROUP erhalten, mit der Information, dass aufgrund eines formalen Fehlers D-Trust S/MIME-Zertifikate am 8. Mai 2026 widerrufen werden. Betroffen ist auch mein o. g. Produkt.
In der E-Mail heißt es weiterhin, dass u. a. die D-Trust Advanced Personal eID als Produkt von D-Trust eingestellt worden sei. Es wird auf verschiedene Alternativen ausschließlich für D-Trust S/MIME-Zertifikate hingewiesen und ein Rabattcode für eine neue Bestellung von 25 % angegeben.

Die D-Trust Advanced Personal eID wurde noch bis vor wenigen Tagen auch auf der Website der PSW GROUP ausdrücklich auch als zur Dokumentensignierung nach dem AATL-Standard beworben. Die Seite wurde inzwischen vom Netz genommen, aber es gibt ja noch die Wayback Machine. Es sieht also nicht danach aus, dass D-Trust hier einen geordneten Produktwechsel vorgenommen hat.

Meine D-Trust Advanced Personal eID hat noch eine Restlaufzeit von ca. 25 %.
Das Problem ist jedoch, dass D-Trust kein alternatives Produkt mit der kombinierten Funktionalität von S/MIME und Dokumentensignierung nach dem AATL-Standard mehr anbietet, schon gar nicht zu einem Preis von 39,00 EUR pro Jahr.

Die PSW GROUP empfiehlt als Ersatz für die D-Trust Advanced Personal eID die D-Trust S/MIME Individual eID zum Jahrespreis von 33,00 EUR, ohne Dokumentensignierung nach dem AATL-Standard.
Unlimitierte AATL-Signaturen bietet die PSW GROUP ab 399,00 EUR pro Jahr an, von D-Trust ab 722,00 EUR pro Jahr. Um die D-Trust Advanced Personal eID zu ersetzen, müssten also zwei Produkte von D-Trust zu einem Jahrespreis von insgesamt 755,00 EUR erworben werden. Wir reden hier also über eine Preissteigerung von 1.836 %! Das ist völlig inakzeptabel!

Ich habe meine Position gegenüber dem Support der PSW GROUP in zwei E-Mails deutlich gemacht, u. a. mit dem Hinweis zur Weiterleitung an D-Trust: "Ich kann nicht erkennen, wie ein Technologieunternehmen des Bundes unsere digitale Zukunftsfähigkeit fördert, indem es einfache und preiswerte Produkte für eine Vielzahl von kleinen und mittleren Unternehmen abschafft und durch kompliziertere und teurere Produkte ersetzt."
Zukünftig werde ich mich nach alternativen technischen Lösungen umsehen und Produkte von D-Trust meiden.

PS: Mein Dank gilt Weia für seine hervorragenden Anleitungen zum Thema "PDFs digital signieren".

Das Chaos geht weiter. Der bisherige Zertifikattyp D-Trust Advanced Personal eID muss ja durch den Nachfolger D-Trust S/MIME Individual eID ersetzt werden, der laut der PSW-Email PDF-Signaturen nicht unterstützt. Auf der entsprechenden Produktseite von D-Trust selbst hingegen steht in der tabellarischen Übersicht (wo das Zertifikat allerdings D-Trust S/MIME Individual ID heißt – also ohne das e vor ID), auch die neuen Zertifikate seien zur „Dokumentensignatur“ geeignet, was ja sinnvollerweise eigentlich nur PDF-Signatur bedeuten kann. Lassen wir uns überraschen, was nun tatsächlich stimmt. Immerhin ist PSW ja der offizielle und exklusive Distributor dieser D-Trust-Zertifikate; bei D-Trust direkt kann man sie seit einiger Zeit nicht mehr kaufen, da dieser eher umständliche Laden auf ein Volumengeschäft nicht eingestellt war (Bearbeitungszeit von Zertifikat-Bestellungen bei PSW in der Regel einige Stunden, bei D-Trust früher 3-4 Wochen ).

Auf der verlinkten Seite ist übrigens auch der Grund dafür angegeben, warum D-Trust die alten Zertifikate zurückziehen musste: Zertifizierungsinstanzen (also die Herausgeber von Zertifikaten) unterliegen wegen ihrer Sicherheitsrelevanz strengen Auflagen; so ist unter anderem eine automatisierte Überprüfung des Quellcodes (das sogenannte Linting) vorgeschrieben, und die hat, wie ihnen jetzt auffiel, D-Trust bei den alten Zertifikaten nicht ordnungsgemäß durchgeführt. 🙄

In der Tat; wie schon in dem vorangegangenen Beitrag geschrieben, hat D-Trust entdeckt, dass sie bei den alten Zertifikaten Sicherheitsvorschriften versemmelt hatten und daher von jetzt auf gleich gezwungen waren, die Zertifikate zu widerrufen.
Die musst Du ja aber nicht zahlen; der Austausch ist, wie von PSW in der Email geschrieben, kostenfrei. Einfach Rechnung als Zahlungsoption angeben.
Das ist jetzt die Gretchenfrage. Wie im vorangegangenen Beitrag geschrieben: PSW sagt nein, D-Trust sagt ja. Ich traue da eher PSW, aber warten wir’s ab. Ich habe das Ersatzzertifikat bereits bestellt und werde das dann natürlich sofort testen.
Ganz so schlimm ist es nicht; qualifizierte Zertifikate (also noch eine Rechtsverbindlichkeitsstufe höher als fortgeschrittene Zertifikate wie eben die Advanced Personal eID) gibt es bei D-Trust für 191 € für 3 Jahre, also 64 €/Jahr (netto). Während man die S/MIME-Zertifikate von D-Trust nur bei PSW kaufen kann, kann man diese Zertifikate (die an eine Signaturkarte als zweiten Faktor gekoppelt sind) allerdings wiederum nur bei D-Trust direkt kaufen.

Das größere Problem ist, dass man diese qualifizierten Zertifikate nicht reibungslos zum Signieren von PDFs verwenden kann, sondern mehrere zusätzliche Software-Programme braucht, von denen zumindest eines, das für die Einrichtung erforderlich ist, nur für Windows erhältlich ist. Und der erforderliche Signaturkartenleser ist wiederum ein anderer als der für den Personalausweis. Das ist alles noch völlig unausgegoren; der Personalausweis müsste ja nur wahrlich in der Lage sein, eine extra Signaturkarte überflüssig zu machen.

Wegen meiner Hoffnung auf die eingangs genannte EUDI-Wallet und dieses ganzen Knorxes mit den Signaturkarten für die qualifizierten D-Trust-Zertifikate habe ich bislang noch nicht probiert, ob und wie man das auf Macs zum Laufen bekommen würde; auch bei D-Trust weiß niemand, ob das auf einem Mac gehen würde.
Es sind wie gesagt eher 100% und dafür bekäme man eine höhere Rechtsverbindlichkeitsstufe, das wäre zumindest für manche Fälle noch OK (und ein extra S/MIME-Zertifikat für die Email ist da dann zusätzlich kostenlos dabei). Das Problem ist die unausgegorene, komplexe Technik dafür. Man kann da nur auf die EUDI-Wallet hoffen und darauf, dass das Chaos bei D-Trust kein Omen für deren Einführung ist …

Nein, das ist ja das Problem. D-Trust ist/war diesbezüglich konkurrenzlos.

Wie es weitergehen kann/könnte, siehe den vorangegangenen Beitrag.

In der E-Mail, die ich von der PSW GROUP erhalten habe, gibt es keinerlei Hinweis auf einen kostenfreien Austausch. Stattdessen gab es folgenden Text:

"Sofern Sie weiterhin ein S/MIME-Zertifikat benötigen, ist ein Wechsel auf ein alternatives Produkt erforderlich.
Gehen Sie dazu bitte wie folgt vor:

• Bestellen Sie ein entsprechendes Ersatzzertifikat über Ihre gewohnte Oberfläche (PSW Konsole oder Website)
• Ersetzen Sie Ihr bestehendes Zertifikat schnellstmöglich
• Bewahren Sie Ihr bisheriges Zertifikat auf, um bereits empfangene E-Mails weiterhin entschlüsseln zu können

Da Ihr D-Trust S/MIME-Zertifikat in Kürze ausläuft, erhalten Sie auf Ihr neues Zertifikat 25 % Rabatt."

"In Kürze" heißt bei mir konkret 16. Juli 2026.
Inzwischen habe ich mich mit der PSW GROUP auf eine Rückerstattung geeinigt. D-Trust ist ein Vertrauensdiensteanbieter. Bei dem ganzen Hickhack hat sich das mit dem Vertrauen für mich erledigt. Leider habe ich bisher keine Alternative gefunden.

Qualifizierte elektronische Signaturen mit Signaturkarte und zusätzlicher Software halte ich für meine Anwendungsfälle für viel zu komplex in der Handhabung. Die Rechtswirkung einer fortgeschrittenen elektronischen Signatur ist für meine Belange ausreichend.

Vielleicht verzichte ich auch völlig auf S/MIME und PDF-Signaturen. In meinem geschäftlichen Umfeld bin ich damit eher eine Ausnahmeerscheinung gewesen. Traurig, aber wahr.

Ah, OK, dann bekommst Du nur eine Ermäßigung, weil Dein Zertifikat schon zu ¾ abgelaufen ist. Bei Zertifikaten, die erst Ende 2026 oder gar 2027 auslaufen, steht in der Email statt des letzten zitierten Satzes:Die Zertifikate waren und sind ja sicher. Der organisatorisch-kaufmännische Aspekt ist halt bei D-Trust chaotisch – ich fürchte, bezeichnend für ein Bundesunternehmen.
Das liegt eben daran, dass es keine gibt. Und das wird sich kurz vor Einführung der EUDI-Wallet vermutlich auch nicht mehr ändern; da warten jetzt alle Anbieter erstmal ab.
Ja, das sehe ich ja ganz ähnlich wie Du.

Da habe ich für diejenigen, die das trotz der angesprochenen Probleme interessiert, den entsprechenden Link vergessen; hier ist er:

Bei D-Trust selbst steht übrigens auf der Produktseite ohne Wenn und Aber:Also auch hier Chaos zwischen Hersteller und Distributor. Der ganze Vertrieb scheint noch in den Kinderschuhen zu stecken; keiner rechnet offenbar damit, dass Kunden mit Aufträgen drohen. 🙄

Hier noch ein Hinweis zum Erstellen des Certificate Signing Requests (CSR):

Ab 2026 akzeptiert PSW aufgrund entsprechender regulatorischer Vorgaben nur noch CSRs für 4096 Bit Schlüssellänge; der Zertifikatsassistent der Schlüsselbundverwaltung generiert standardmäßig aber CSRs für 2048 Bit Schlüssellänge.

Daher muss man im Zertifikatsassistenten die Checkbox Eigene Schlüsselpaarinformationen festlegen ankreuzen; dann kann man nach Auswahl des Speicherorts auf der Festplatte noch die Schlüssellänge auf 4096 Bit umstellen (der Algorithmus bleibt RSA). Zumindest ist das bei macOS 10.14 Mojave so; möglicherweise generieren spätere macOS-Versionen bereits von sich aus CSRs für 4096 Bit Schlüssellänge.

Ich hätte ja gewettet, PSW hat recht, aber es geschehen noch Zeichen und Wunder: D-Trust hatte recht; die neue Zertifikatskette ist in die AATL aufgenommen und PDF-Unterschriften funktionieren mit dem neuen Zertifikat problemlos

Warum dann auch jetzt (Freitag Abend) noch auf der Hot Update-Seite von PSW stehtwissen die Götter (oder PSW). War wohl eine sehr schnelle Prüfung seitens D-Trust. Ich habe das Zertifikat schon heute früh bekommen, kam aber erst jetzt zum Testen (war nicht oben auf meiner Prioritätenliste, da ich ich ja erwartet hatte, dass es eh nicht gehen würde, und ich heute schon genügend andere Frust-Erlebnisse hatte). Hätte ich das gleich heute früh getestet, hätte ich PSW natürlich sofort Bescheid gegeben.

Nach 4 Tagen Chaos und Hektik sieht es am Ende also besser aus als je zuvor:

• Die neue, für absehbare Zeit zukunftssichere Zertifikatskette für Zertifikate mit 4096-Bit-Verschlüsselung ist in der AATL, sodass man mit den neuen, auf dieser Kette aufbauenden Zertifikaten weiterhin PDFs signieren kann
• Aufgrund der Zukunftssicherheit der Zertifikatskette ist davon auszugehen, dass uns diese neuen Zertifikate über das Jahr 2026 hinaus erhalten bleiben werden, bis sich irgendwann (vermutlich) eine endgültige Lösung mit der EUDI-Wallet etabliert hat
• Und billiger sind die neuen Zertifikate auch noch geworden (33 € statt 39 € pro Jahr)

Noch ein direkter Link zu der Bestellseite für die Zertifikate, die jetzt bis auf Weiteres vorbehaltlos zu empfehlen sind: D-Trust S/MIME Individual ID

PS: Die Zertifikatskette besteht aus 3 Zertifikaten, die außer dem persönlichen Zertifikat ebenfalls mitgeliefert werden. Stand macOS 10.14 Mojave ist das Root-Zertifikat schon in macOS installiert und muss also nicht in den System-Schlüsselbund kopiert werden, die beiden Zwischenzertifikate aber schon. Diese Zwischenzertifikate (D-Trust SBR CA 2-22-1 2022 (Dateiname D-Trust-Intermediate-1.cer) und D-Trust SBR Root CA 2 2022 (Dateiname D-Trust-Intermediate-2.cer)) sind von 2022, es kann also gut sein, dass sie in den letzten macOS-Versionen bereits installiert sind; dann muss das natürlich nicht nochmals geschehen (wobei Dubletten auch nicht schaden).

Zumindest bis einschließlich Sequoia ist die Voreinstellung noch 2048 Bit und muss also geändert werden.