Hallo zusammen,
wer Weias Anleitung(en) zum Signieren von PDFs ver- oder auch befolgt hat ist u.U. so wie ich Kunde bei PSW mit einem D-Trust Zertifikat. Daher bin ich heute von PSW per Mail darüber informiert worden, dass D-Trust aufgrund von Vorgaben der Browserhersteller Umstellungen vornehmen muss, so dass die Zertifikate nicht mehr zum Signieren von PDFs verwendet werden können (hoffe ich habe das richtig wiedergegeben).
Da ich in diesem Zusammenhang noch nicht einmal gefährliches Halbwissen vorweisen kann - weiß jemand worum es da geht? Oder besser wie damit umzugehen ist? Vermutlich werde ich mir für PDF dann ein neues Zertifikat zulegen müssen, oder?
Hoffe auf Erhellung. Danke.

D-Trust Advanced Personal eID
"Bei diesem Produkt ändert sich zum 31.12.2024 die Zertifikatskette. Ab diesem Zeitpunkt ist es dann nicht mehr möglich, das Zertifikat zusätzlich auch zum Signieren von PDF-Dokumenten zu nutzen."

sudoRinger

Genau das stand so in der Mail. Kennst Du Hintergründe?

Leider nein. Der Produktflyer von D-Trust ist noch von 2023 .

Ich habe die Mail von PSW natürlich auch bekommen, wollte aber, bevor ich dazu hier etwas schreibe, erst mit D-Trust Rücksprache halten. Bislang habe ich von denen aber noch keine substantielle Antwort.

Ich war stinksauer, als ich das erfahren habe, denn was die Digitalisierung betrifft, ist das natürlich politisch ein Schritt in die exakt verkehrte Richtung, hin zu Erschwerung statt Erleichterung. Das ist umso unverständlicher, als D-Trust ja dem Bund gehört. Ich weiß nicht mal, ob das rechtlich einwandfrei ist, denn immerhin wurden die Zertifikate als eIDAS-konform beworben, was die Möglichkeit zur PDF-Signierung impliziert. Wer also ein Zertifikat gekauft hat, dessen Laufzeit deutlich über den 31.12.2024 hinausreicht, wird eigentlich um eine bezahlte Leistung betrogen.
Die technischen Hintergründe sind ganz trivial. Zertifikate werden über Zertifikatsketten zum Root-Zertifikat validiert (Einzelheiten bitte in meinem damaligen Beitrag nachlesen). Ein Zwischenzertifikat (also ein Bindeglied zwischen dem eigenen Zertifikat und dem Root-Zertifikat von D-Trust) muss aber aufgrund technischer Anpassungen an neue Vorgaben (4096 Bit statt 2048 Bit Verschlüsselung) zum 1.1.2025 erneuert werden. Das ist ein ganz normaler Vorgang; soweit nichts Besonderes.

Das Besondere besteht darin, dass das alte Zwischenzertifikat in der AATL war, also Adobes Liste von Zertifikaten, die Acrobat Reader zum Signieren akzeptiert; das neue Zwischenzertifikat ist das aber nicht und deshalb funktioniert das Signieren nicht mehr. So lautet die Erklärung von D-Trust. Die ist aber natürlich insofern völliger Blödsinn, als dass D-Trust sich ja bemühen könnte, dass auch das neue Zwischenzertifikat in die AATL aufgenommen wird, so, wie sie das beim alten auch getan haben. Sollte Adobe das warum auch immer verweigern (wofür es aber aus Adobes Sicht keinerlei Grund geben dürfte), stünde als Alternative die von der EU betreute EUTL bereit, die Acrobat Reader ebenfalls akzeptiert.

Die ganze Begründung ist also ein billiges Ausweichmanöver. Die tatsächlichen, (firmen-)politischen Hintergründe kenne ich nicht. Vielleicht will D-Trust die deutlich teureren qualifizierten Zertifikate puschen? Digitalpolitisch ist das jedenfalls ein völliges Desaster.

Ich bezweifle, dass das etwas ändert, aber das einzige, was sich im Augenblick machen lässt, wären viele Emails an vertrieb@d-trust.net mit der Frage, was das soll, und der Aufforderung, das neue Zwischenzertifikat in AATL oder EUTL aufnehmen zu lassen. Dann merken sie vielleicht wenigstens, was sie angerichtet haben.

Das ist eben leider nicht so trivial. Es ist unklar, ob das mit dem Mac überhaupt geht und was man alles dafür braucht. Es würde wohl auf jeden Fall deutlich komplizierter und teurer. Mit Einzelheiten will ich mich aber zurückhalten, bis ich die Stellungnahme von D-Trust habe.

Das Advanced-Personal-ID-Zertifikat war meines Wissens das einzige, das so vergleichsweise einfach und preiswert PDF-Signieren und Email-Verschlüsseln erlaubt hat.

Ich habe auch ein Zertifikat von denen gekauft (gültig bis 31.12.2025) und über das Kontaktformular um Aufklärung gebeten. Mal schauen, was dabei rumkommt.

Die Antwort kam schnell, wahrscheinlich Textbausteine:

"Guten Tag,

vielen Dank für Ihre Anfrage.

Gerne gehe ich auf Ihre Fragen näher ein.

1. Wir die PSW GROUP sind Reseller und keine Zertifizierungsstelle. Es liegt schlicht nicht in unserer Macht solche Änderungen von den CA's zu verhindern. Wir können lediglich über diese Themen informieren und Alternativen aufzeigen.

Der Vorteil von uns als PSW ist, dass wir ein eigenständiger Reseller sind der inzwischen Partnerschaften mit über 10 CA's hat. Sprich wir haben im Grunde für fast jeden Einsatzzweck mindestens 2 oder mehr Optionen die wir dem Kunden anbieten können. So können wir, auch wenn es mal Änderungen gibt die nicht im Interesse des Kunden sind, entsprechende Alternativen aufzeigen.

2. Es wird keine Kostenerstattung geben, weil die Änderungen sich ja nur auf Neubestellungen/Verlängerungen beziehen. Bereits ausgestellte Zertifikate oder Zertifikate die noch bis zum Jahresende erstellt werden, haben nach wie vor die Option der PDF-Signierung für die volle Laufzeit enthalten.

Wenn Sie also beispielsweiße am 01.11.2024 noch einmal ein D-Trust S/MIME-Zertifikat kaufen und erhalten, können Sie mit diesem bis zum 01.11.2025 noch PDF-Dateien signieren. Wenn Sie jedoch ein S/MIME-Zertifikat am 01.01.2025 kaufen und erhalten, kann dieses nicht mehr zum signieren von PDF-Dateien verwendet werden."

Gestern zumindest gab es die noch nicht. Deine wird wohl nicht die einzige Anfrage gewesen sein.
Das ist schlicht richtig. Der eigentliche Adressat für Nachfragen und Beschwerden sollte daher D-Trust sein.

Mit dem Aufzeigen von Alternativen ist es in diesem Fall halt schwierig. Wenn man sich bei PSW umschaut, kosten alternative Zertifikate das 10-20-fache und können nicht einmal zusätzlich für Emails verwendet werden.
Das ist allerdings sehr interessant. Auf der Produkt-Webseite klingt das für mein Verständnis anders:Das müsste also noch genauer geklärt werden. Wenn das stimmt und man noch 1 Jahr oder länger Laufzeit hat (neu ist jetzt nur noch 1 Jahr erhältich), dann könnte man erstmal abwarten und auf neue Entwicklungen hoffen.

Ich habe gerade mit dem Support der PSW Group telefonieren können. Bei bestehenden Zertifikaten und denen, die bis Jahresende gekauft werden, gilt die aktuelle Zertifikatskette. Das heißt, diese Zertifikate funktionieren bis zum Laufzeitende wie gehabt. Erst Zertifikate, die nach dem 31.12.2024 erworben werden, können nicht mehr zum Signieren von PDFs verwendet werden. (EDIT: Habe Formulierung um 10:53 geändert.)

Ich habe auf die unscharfe Formulierung hingewiesen. Die Dame meinte, sie würde es an die Zuständigen weitergeben.

Am kommenden Mittwoch, 21.08.2024 um 10 Uhr, wird es ja ein Webinar geben, bei dem alles erklärt werden soll.

Danke für die Info! Das entschärft die Situation kurzfristig etwas.

Die Ausssage, dass die bestehenden Zertifikate weiter funktionieren, ist schon ein wenig widersprüchlich im Vergleich zu dem, was als Begründung für den Rest herhalten muss, oder nicht?

Sind da zwei verschiedene Zertifikatsketten in Verwendung?

Die Zertifikatskette bei der Einrichtung kann nachträglich nicht geändert werden. Wär ja noch schöner! Wie sollte man dann einem Zertifikat vertrauen können? Für die Zertifikate ab 01.01.2025 gilt dann eine andere Zertifikatskette. Ich finde da keinen Widerspruch …

Das stimmt. Aber theoretisch hätte natürlich Adobe die alten Zwischenzertifikate ab 2025 aus der AATL schmeißen können, aus welchem Anlass auch immer. Das war alles etwas unklar formuliert, aber jetzt scheint es ja geklärt zu sein.

Ein Zertifikat kann jederzeit per revoke ungültig gemacht werden. Damit wäre die Zertifikatskette unterbrochen, da mit einem zurückgezogenen Zertifikat in der Kette auch die Prüfung des eigentlichen Zertifikates das beim Kunden eingesetzt wird als ungültig angesehen werden muß.
Daher würde ich mich noch nicht in Sicherheit wiegen. Ablaufdatum ist nur eine Variable in diesem Zusammenhang.

rmayergfx
Aber weshalb um Himmels Willen sollten die das tun wollen? Mir fällt da nichts Schlüssiges ein …

Die Dame vom PSW-Support wirkte übrigens kompetent, nicht wie eine themenfremde Call-Center-Mitarbeiterin!
Ich denke, dass man dieser Aussage schon vertrauen darf.

Die Dame sagte mir, dass der Text der E-Mail und auf der Produktseite von der Marketingabteilung verfasst wurde. Und da bin ich der Meinung: Diese Marketingleute haben sich an der Stelle nicht gerade mit Ruhm bekleckert.

Stimmt. Dann geht aber gar nix mehr. Hier wäre es ja aber um den Fall gegangen, dass die Email-Signierung und -Verschlüsselung sehr wohl noch gehen, nur das Signieren von PDFs nicht mehr.

Ich habe den PSW-Support per Mail auf diesen Thread hier hingewiesen und nocheinmal angemerkt, dass der Text auf der Produktseite missverständlich formuliert ist.

Gerade habe ich vom PSW-Support eine Antwort erhalten, die ich hier auszugsweise zitieren möchte:

„… Bis zum Jahresende, können weiterhin D-Trust S/MIME Zertifikate gekauft werden, die dann auch über das Jahresende hinaus, weiterhin PDF-Dokumente signieren können. Sprich ein Kunde der sein Zertifikat noch dieses Jahr verlängert/erneuert, sichert sich so noch ein ganzes Jahr PDF-Signing mit seinem D-Trust S/MIME-Zertifikat.

Bereits gültige Zertifikate sind somit zunächst von diesen Anpassungen nicht betroffen und behalten für die gesamte Laufzeit ihre volle Funktionalität. Es geht somit nur um neue Zertifikate die nach dem Jahreswechsel ausgestellt werden.

Ab 2025 werden die D-Trust S/MIME-Zertifikate dann mit einer anderen Zertifikatskette ausgestellt und können dadurch dann nicht mehr zum signieren von PDF-Dokumenten verwendet werden bzw. werden diese in Adobe nicht mehr als vertrauenswürdig dargestellt. Das kommt daher, dass die neue Zertifikatskette von D-Trust schlicht nicht im Adobe-Truststore hinterlegt ist.

Stand jetzt, können in Zukunft PDF-Dokumente dann nur noch mit eSigning-Zertifikaten signiert werden. Im Grunde gibt es die Trennung von S/MIME und PDF-Signing auch schon seit Jahren. Die S/MIME-Zertifikate von D-Trust waren hier schon seit längerem Ausnahmeprodukte die aber dadurch bei vielen Kunden sehr beliebt waren.

Wie die Zukunft genau aussieht, kann jedoch niemand vorhersagen. Eventuell werden auch wieder S/MIME-PDF Kombizertifikate angeboten. Für den Moment wird das ganze Thema von den CA's aber von einander getrennt.“

Ja, das dürfte ja jetzt als geklärt gelten.
Ja, und das ist wie gesagt der ganze springende Punkt. Was hindert D-Trust daran, die neue Zertifikatskette in der AATL zu hinterlegen? Technisch nichts. Das ist einfach deren mangelnder Wille.

Deswegen kann ich nur immer wieder sagen: Ihr müsst wenn, dann an D-Trust schreiben, nicht an PSW. Die können nix dafür.

Ich hab da so eine dunkle Befürchtung das Adobe dafür zu viel Geld von Trust haben möchte und es daher nicht eingepflegt wird. Zumal Adobe ja auch seine eigenen Lösungen an den Enduser verkaufen möchte.

rmayergfx
es gibt aber auch die Alternative EUTL wie von Weia oben aufgeführt. Irgendwie kommt es mir vor, das Dtrust einfach keinen Bock oder unfähig ist, das Zertifikat an den „richtigen“ Mann zu bringen. Wo war gleich nochmal das Internet „Neuland“

Danke für Euren Austausch. Was ich logisch nicht nachvollziehen kann: wenn eine Zertifikatskette grundsätzlich funktioniert, warum ist es dann nicht egal ob S/MIME oder PDF?

Weil Email als öffentlicher Standard sofort funktioniert, sobald eine S/MIME-Zertifikatskette gültig ist, aber Adobe zusätzlich fordert, dass das Zertifikat in die von Adobe kontrollierte Adobe Approved Trust List (AATL) (alternativ in die von der EU kontrollierte EUTL) aufgenommen ist, damit das Signieren von PDFs funktioniert. Adobe kontrolliert halt das PDF-Format …

Meine Vermutung: wenn an einer Stelle eine Trennung vollzogen wird, die nicht unbedingt erforderlich ist, dient das entweder dem Ausbau von Kontrolle (im Sinne von Macht) und/oder folgt wirtschaftlichen Interessen.

Also ist D-Trust entweder jetzt erst aufgefallen, das ein Produkt im Portfolio ist, das zu günstig verkauft wird (Vgl. Weias Aussage zu PDF-Signing Zertifikaten) oder Adobe möchte mehr Geld für die AATL, so dass sich das bisherige Produkt nicht mehr rechnet.

Ich vermute, da können wir D-Trust schreiben, soviel wir wollen (auch wenn ich das versuchen werde), aber ein positives Ergebnis erwarte ich nicht. In solchen Fällen wird i.d.R. auf existierende/ teurere Alternativprodukte verwiesen, wenn der Kunde denn meint weiterhin PDF signieren zu wollen.

Schade, war ein praktisches Feature…

Was mich ungemein aufregt, ist, dass Fortschritte (nicht Rückschritte) in der Digitalisierung erklärtes politisches Ziel sind und D-Trust ein Unternehmen des Bundes ist. Das passt einfach nicht zusammen.

Was ist vom Signius Signatur Einmalpaket zu halten ? 120 Signaturen sind ein Jahr gültig für 30 Euro. Funktioniert das Signieren offline wie beim D-Trust-Zertifikat?
Ansonsten fangen die E-Signing-Zertifikate bei über 300 Euro an. Das ist für mich keine Option.

Auch wenn es vielleicht etwas komisch klingt. Mal den Verbraucherschutz angeschrieben?

Das kommt dabei raus, wenn man solche Sachen „dem Markt“ überlässt. So etwas sollte mMn im Sinne von Infrastruktur-Ewigkeitskosten von uns allen = vom Staat übernommen werden. Dann wären Verbreitung, Preis und Akzeptanz vermutlich deutlich besser und D käme da mal vorwärts…

Anekdote aus einer Behörde (von einer Freundin berichtet): da wird alles mögliche per Mail herumgeschickt, an einer bestimmten Stelle im Verteilungszyklus ausgedruckt, mit einem Stempel versehen und eingescannt. Ohne Worte

Das ist halt wieder eine Online-Lösung und kein Zertifikat, das heißt, Du musst das zu unterzeichnende Dokument übers Internet an eine dritte Partei senden (jedenfalls verstehe ich die Produktbeschreibung so). Wie so viele Teile der IT-Industrie gibt es auch hier einen Hang weg vom Produkt (Zertifikat) hin zur Dienstleistung (eSigning).

Bei mir sträubt sich schon prinzipbedingt alles gegen die Vorstellung, dass ich einem Dritten für meine Unterschrift etwas zahlen muss.

Das nicht, aber ich wollte, so es Zeit und Kraft erlauben, beim Hessischen Digitalministerium vorstellig werden.

D-Trust ist eine 100 %-Tochter der Bundesdruckerei, also eines Staatsunternehmens.
Das kommt dabei raus, wenn man die Bereitstellung von solchen Dienstleistungen dem Staat überlässt.

Wenn hier ausreichend Nachfrage bestehen würde (durch bessere Zugänglichkeit der PDF-Signierung) und echter Wettbewerb von Unternehmen, dann würde die Dienstleistung mit Sicherheit weniger als 40 Euro kosten. Der größte Kostenblock sollte durch die Authentifizierung entstehen. Ein Video-Identverfahren und Prüfung von Dokumenten kostet tatsächlich dem Anbieter etwas. Aber jenseits davon, fällt mir außer Support nichts ein.

Ich verstehe das auch so. Ich hatte gehofft, dass die "remote Signatur" heißt, dass online Signaturen abgerufen und offline genutzt werden können.

Naja, immerhin haben das D-Trust bislang als Einzige überhaupt angeboten. Alle anderen Anbieter richten sich klar an große Firmen. Ich verstehe nicht, was da hakt. Wir kennen die Hintergründe einfach nicht genügend.
Nö. Die geschieht doch seit letztem September eh automatisch per eID (Personalausweis mit Online-Funktion).