SAML-Community-Cert-Rollover von 2026-02-17 10:00 CET bis 2026-02-19 12:00 CET

Liebe Betreiber*innen der Service Provider,
vom 17. Februar 2026 bis 19. Februar 2026 wird für folgende Identity Provider (IdPs) ein Zertifikatswechsel durchgeführt:
shibboleth-idp.gwdg.de
shibboleth-idp.uni-goettingen.de
shibboleth-idp.mpg.de
In diesem Zeitraum werden die IDP SAML-Zertifikate einmalig erneuert.
Üblicherweise verläuft dieser Prozess ohne Einschränkungen, da in einer kurzen Übergangsphase beide Zertifikate parallel konfiguriert sind.

Ablauf des Zertifikatwechsels
Dienstag, 17.02.2026, ca. 10:00 Uhr: Neues zusätzliches Zertifikat wird eingespielt
Donnerstag, 19.02.2026, zwischen 11:00–12:00 Uhr: Altes Zertifikat wird aus den Metadaten entfernt

Unterschiedliche Verhaltensweisen von Service Providern
In der Vergangenheit haben wir drei mögliche Szenarien beobachtet:
Metadaten werden automatisch und regelmäßig heruntergeladen
(a) Automatischer Download, jedoch keine Unterstützung für zwei Zertifikate →
Bitte den automatischen Download bis zur Löschung des alten Zertifikats aussetzen, um Konflikte zu vermeiden.
(b) Automatischer Download mit Unterstützung für mehrere Zertifikate →
Kein Handlungsbedarf. (Bei Standardimplementierungen wie shibd/Shibboleth ist dies häufig der Fall.)
Zertifikat ist fest hinterlegt („gepinnt“) im Service Provider
In diesem Fall muss die Umstellung zeitgleich mit dem Wechsel auf der IdP-Seite erfolgen.

Ihre Rückmeldung
Bitte teilen Sie uns mit, welche der beschriebenen Varianten oder ggf. weitere Besonderheiten bei Ihrem Service Provider relevant sind.
So können wir den Ablauf optimal abstimmen und unseren Service langfristig verbessern.

Zertifikatslinks ab 17. Februar 2026
Falls Sie das IdP-Zertifikat nicht automatisch aktualisieren, stehen die neuen Zertifikate ab dem 17.02.2026 unter folgenden Links zur Verfügung:
shibboleth-idp.uni-goettingen.de
https://shibboleth-idp.uni-goettingen.de/simplesaml/saml2/idp/metadata.php
Fingerprint: DB:FF:A9:F7:53:D5:AC:96:53:C6:4C:AE:9B:B0:0D:34:DE:94:AF:93:7F:F3:80:40:EF:5D:3E:3C:48:70:87:B1
shibboleth-idp.mpg.de
https://shibboleth-idp.mpg.de/simplesaml/saml2/idp/metadata.php
Fingerprint: 45:A2:E8:A7:4C:2A:78:21:E9:C7:EE:D7:EB:2E:41:20:5D:33:59:E7:0C:CE:79:72:E7:D1:76:51:88:6C:7B:FE
shibboleth-idp.gwdg.de
https://shibboleth-idp.gwdg.de/simplesaml/saml2/idp/metadata.php
Fingerprint: 71:46:E0:C1:6F:40:01:E3:23:91:60:C8:60:81:35:D4:02:1F:FE:C5:AF:B2:09:9D:52:3A:38:68:AB:60:94:7C

Hinweis:
Am 19.02.2026 werden die alten Zertifikate sowohl aus den Metadaten der IdPs als auch des DFN gelöscht.
Ab diesem Zeitpunkt werden SAML-Nachrichten ausschließlich mit dem neuen Zertifikat signiert.
Vielen Dank für Ihre Kooperation und Unterstützung.
Bei Rückfragen stehen wir Ihnen selbstverständlich gerne zur Verfügung.
Mit freundlichen Grüßen
Ihr GWDG SSO Team