DFN-PKI: Änderungen Ende 2024

Hintergrund

Die Universität Trier nimmt seit vielen Jahren an der Public Key Infrastruktur (PKI) des Deutschen Forschungsnetz-Vereins (DFN), kurz DFN-PKI, teil, sodass Universitätsangehörige hierüber Zertifikate für verschiedene Zwecke beziehen können. Hierzu zählen Serverzertifikate zur Verschlüsselung von Serververbindungen und Nutzerzertifikate zur Signatur und Verschlüsselung von u.a. E-Mails und Dokumenten.

Aktuell wird die DFN-PKI über den Trusted Certificate Service (TCS) des GÉANT (Gigabit European Academic Network) realisiert. Der TCS-Dienst wird europaweit von einem Dienstleister (Sectigo) erbracht, welcher den entsprechenden Vertrag kurzfristig gekündigt hat.

Zwischen Sectigo und GÉANT gibt es Uneinigkeit über zentrale Vertragsfragen. Dies betrifft u.a. den Zeitpunkt, zu dem die Kündigung wirksam werden soll, und die Leistungserbringung an einzelne versorgte Einrichtungen.

Wie geht es weiter?

Derzeit geht der DFN-Verein davon aus, dass Sectigo die Leistungserbringung zum 10.01.2025 einstellen wird. Die Kollegen bemühen sich gemeinsam mit GÉANT darum, dass möglichst noch vor diesem Datum eine Nachfolgelösung gestartet werden kann.

Bitte beachten Sie, dass eine Verlängerung von Zertifikaten nach dem 10. Januar 2025, ebenso wie der Zugriff auf die Webportale des Anbieters, nicht mehr möglich sein wird. Die Gültigkeit bestehender Zertifikate bleibt hiervon unberührt.

Hieraus ergeben sich folgende Punkte:

  • Nutzerzertifikate
    • Bestehende Zertifikate, die noch vor dem Wechsel auf GÉANT TCS über die DFN KI Global G2 beantragt wurden, werden bald ablaufen und können nach dem o.g. Datum nicht mehr durch ein TCS-Zertifikat ersetzt werden.
    • Gleiches gilt für TCS-Zertifikate, die relativ früh oder mit geringen Laufzeiten ausgestellt wurden.
  • Serverzertifikate
    • Wir empfehlen alle Serverzertifikate, die in den Jahren 2024 oder 2025 ablaufen, so bald wie möglich vorzeitig zu verlängern.

Der DFN-Verein hält es für äußerst unwahrscheinlich, dass bestehende Zertifikate vor deren Ablauf gesperrt werden. Nach Aussage von GÉANT gibt es klare vertragliche Regelungen, dass nicht gesperrt werden darf.

Jenseits der vertraglichen Gründe ist eine Sperrung von Zertifikaten aus kommerziellen Gründen (z.B. zum Vertragsende) nach der Einschätzung der Kollegen nicht im Interesse der Root-Programme der Browser und Betriebssystemhersteller. Browserhersteller können Anbieter Ihrerseits bei Policyverstößen sperren.

Was muss ich als Nutzende/r nun tun?

Nutzerzertifikate

Um Unterbrechungen Ihrer Zertifikatsnutzung zu vermeiden, bitten wir Sie, sofern benötigt, eine Verlängerung Ihres Zertifikats in die Wege zu leiten. Denken Sie bitte daran, abgelaufene Zertifikate inklusive Private Key aufzuheben, um ggf. in der Vergangenheit verschlüsselte E-Mails auch in Zukunft entschlüsseln zu können.

Eine Verlängerung funktioniert analog zu Neuausstellung, welche auf folgender Seite beschrieben wird:

→ Nutzerzertifikat beantragen

 

Serverzertifikate

Um Unterbrechungen im Serverbetrieb zu vermeiden und weiterhin die Sicherheit Ihrer Systeme zu gewährleisten, bitten wir Sie, folgende Schritte unverzüglich in die Wege zu leiten:

  1. Zertifikate prüfen: Überprüfen Sie die Ablaufdaten Ihrer aktuellen Zertifikate (und ob diese noch benötigt werden) anhand der Liste, die wir Ihnen per E-Mail zugesendet haben.
  2. Verlängerung einleiten oder Zertifikat zurückziehen: Beginnen Sie den Verlängerungsprozess umgehend, um sicherzustellen, dass die Zertifikate fristgerecht erneuert werden können. Sollte ein Zertifikat nicht mehr benötigt werden, ziehen Sie es zurück ("Revoke"). Eine Verlängerung entspricht einer Neuausstellung, daher können Sie die Verlängerung über das Portal vornehmen, über welches Sie neue Zertifikate beantragen, wie auf folgender Seite beschrieben:

    → Serverzertifikat beantragen
     
  3. Zertifikat sichern: Sichern Sie die alle benötigten Zertifikatsdateien aus den E-Mails des Anbieters nach erfolgter Verlängerung auf einem Medium Ihrer Wahl.
  4. Zertifikat installieren: Installieren Sie vor Ablauf des bisher verwendeten Zertifikats die neue Zertifikatsdatei auf dem entsprechenden Server.

Kann man Let's  Encrypt (o.a.) verwenden?

Zertifikate aus kostenfreien CAs wie Let's Encrypt beinhalten keinen Organisationsnamen und sind ausschließlich domainvalidiert. Die vollautomatische Validierung erfordert den Nachweis der Kontrolle über die zu sichernde Domain. Die Zertifikate sind voll funktionsfähig und sicher und können dementprechend verwendet werden.

Wohin kann ich mich bei Fragen wenden?

Sollten Sie Fragen haben oder Unterstützung benötigen, steht Ihnen unser Service-Punkt unter den in der rechten Kachel angegebenen Kontaktdaten jederzeit zur Verfügung.