Ankündigung Zertifikatswechsel für IdP-Dienste vom 17.–19. Februar 2026 von 2026-02-17 10:00 CET bis 2026-02-19 12:00 CET

Liebe Betreiberinnen der Service Provider,
vom *17. Februar 2026 bis 19. Februar 2026 wird für folgende Identity Provider (IdPs) ein Zertifikatswechsel durchgeführt:

• shibboleth-idp.gwdg.de
• shibboleth-idp.uni-goettingen.de
• shibboleth-idp.mpg.de
  In diesem Zeitraum werden die IDP SAML-Zertifikate einmalig erneuert.
  Üblicherweise verläuft dieser Prozess ohne Einschränkungen, da in einer kurzen Übergangsphase beide Zertifikate parallel konfiguriert sind.

Ablauf des Zertifikatwechsels

• Dienstag, 17.02.2026, ca. 10:00 Uhr: Neues zusätzliches Zertifikat wird eingespielt
• Donnerstag, 19.02.2026, zwischen 11:00–12:00 Uhr: Altes Zertifikat wird aus den Metadaten entfernt

Unterschiedliche Verhaltensweisen von Service Providern
In der Vergangenheit haben wir drei mögliche Szenarien beobachtet:

1. Metadaten werden automatisch und regelmäßig heruntergeladen

• (a) Automatischer Download, jedoch keine Unterstützung für zwei Zertifikate →
  Bitte den automatischen Download bis zur Löschung des alten Zertifikats aussetzen, um Konflikte zu vermeiden.
• (b) Automatischer Download mit Unterstützung für mehrere Zertifikate →
  Kein Handlungsbedarf. (Bei Standardimplementierungen wie shibd/Shibboleth ist dies häufig der Fall.)

2. Zertifikat ist fest hinterlegt („gepinnt“) im Service Provider
   In diesem Fall muss die Umstellung zeitgleich mit dem Wechsel auf der IdP-Seite erfolgen.

Ihre Rückmeldung
Bitte teilen Sie uns mit, welche der beschriebenen Varianten oder ggf. weitere Besonderheiten bei Ihrem Service Provider relevant sind.
So können wir den Ablauf optimal abstimmen und unseren Service langfristig verbessern.

Zertifikatslinks ab 17. Februar 2026
Falls Sie das IdP-Zertifikat nicht automatisch aktualisieren, stehen die neuen Zertifikate ab dem 17.02.2026 unter folgenden Links zur Verfügung:

• shibboleth-idp.uni-goettingen.de
  https://shibboleth-idp.uni-goettingen.de/simplesaml/saml2/idp/metadata.php
  Fingerprint: DB:FF:A9:F7:53:D5:AC:96:53:C6:4C:AE:9B:B0:0D:34:DE:94:AF:93:7F:F3:80:40:EF:5D:3E:3C:48:70:87:B1
• shibboleth-idp.mpg.de
  https://shibboleth-idp.mpg.de/simplesaml/saml2/idp/metadata.php
  Fingerprint: 45:A2:E8:A7:4C:2A:78:21:E9:C7:EE:D7:EB:2E:41:20:5D:33:59:E7:0C:CE:79:72:E7:D1:76:51:88:6C:7B:FE
• shibboleth-idp.gwdg.de
  https://shibboleth-idp.gwdg.de/simplesaml/saml2/idp/metadata.php
  Fingerprint: 71:46:E0:C1:6F:40:01:E3:23:91:60:C8:60:81:35:D4:02:1F:FE:C5:AF:B2:09:9D:52:3A:38:68:AB:60:94:7C

Hinweis:
Am 19.02.2026 werden die alten Zertifikate sowohl aus den Metadaten der IdPs als auch des DFN gelöscht.
Ab diesem Zeitpunkt werden SAML-Nachrichten ausschließlich mit dem neuen Zertifikat signiert.