Neues Wurzel-Zertifikat in der DFN-PKI

Für die Absicherung von Serverdiensten werden von Ihnen SSL-Zertifikate aus der DFN-PKI eingesetzt. Diese Zertifikate für Ihre Server werden von einer Zertifizierungsstelle, der DFN-PKI, signiert (digital unterschrieben). Die Zertifikate der DFN-PKI wiederum sind von einer weiteren Zertifizierungsstelle signiert. Auf diese Weise ergibt sich ein sogenannter Zertifizierungspfad (Zertifizierungskette) vom Zertifikat des Servers bis zu einer sogenannten Stammzertifizierungsstelle, deren Zertifikat nicht mehr von einer weiteren Zertifizierungsstelle ausgestellt ist. Zertifikate von Stammzertifizierungsstellen werden auch als Wurzel-Zertifikate bezeichnet.

Dass ein auf diese Weise signiertes Zertifikat Ihres Servers für den Einsatz als SSL-Zertifikat auf einem von Ihnen betriebenen Webserver von den Internet-Browsern als „sicheres Zertifikat“ angezeigt wird, liegt an der Verankerung/Hinterlegung des Wurzel-Zertifikats in den Internet-Browsern und den Betriebssystemen.

Darüber hinaus haben all diese digitalen Zertifikate ein Ablaufdatum. In der Regel ist der Gültigkeitszeitraum für Serverzertifikate aus der DFN-PKI bis zu zwei Jahre. Mit Ablauf der Gültigkeit eines Zertifikats werden Internet-Browser die dann ungültigen Zertifikate monieren und eine Verbindung verweigern.

Auch für das Wurzel-Zertifikat der DFN-PKI gibt es einen Gültigkeitszeitraum. Die Gültigkeit des entsprechenden Wurzel-Zertifikats „Deutsche Telekom Root CA 2“ läuft am 10. Juli 2019 ab. Es gibt keine Verlängerung dieses Zeitraums.

Mit Ablauf der Gültigkeit des Wurzel-Zertifikats „Deutsche Telekom Root CA 2“ im Juli 2019 muss daher auch innerhalb der DFN-PKI etwas getan werden. Die DFN-PKI wechselt auf ein neues Wurzel-Zertifikat. Dieses besitzt den Namen „T-Telesec Global Root Class 2“. Es ist bis zum Jahr 2033 gültig und ist ebenfalls in allen aktuellen Betriebssystemen und Browsern verankert/hinterlegt.

Den Wechsel innerhalb der DFN-PKI steuern die teilnehmenden Einrichtungen selbst, da der DFN parallel zur „alten“ DFN-PKI Online-Schnittstelle eine neue Online-Schnittstelle bereitstellt. Dabei sind die Funktionen der Schnittstelle inhaltsgleich. Wesentliche Änderungen betreffen den Aufbau der neuen DFN-PKI. In der alten Generation der DFN-PKI wurden eigene, echte Sub-CAs (Subordinate Certification Authorities, „Unter-CAs“) mit eigenen Zertifikaten in der Zertifizierungskette für die Einrichtungen betrieben.

Im Zuge der Umstellung auf die neue DFN-PKI mit dem neuen Wurzel-Zertifikat fallen diese einrichtungsspezifischen Zertifikate weg. Alle Zertifikate in der neuen Generation der DFN-PKI werden mit dem Sub-CA-Zertifikat „DFN-Verein Global Issuing CA“ ausgestellt. Für die TU Braunschweig fällt daher – wie auch für die anderen Einrichtungen, die an der DFN-PKI teilnehmen – das eigene, einrichtungsspezifische Sub-CA-Zertifikat (hier mit dem Namen „Technische Universitaet Braunschweig CA“) im Zertifizierungspfad zukünftig weg.

Zertifikatskette der "alten" DFN-PKI, enthält "TU Braunschweig CA" Zertifikatskette der neuen Generation der DFN-PKI, enthält "DFN-Verein Global Issuing CA" statt "TU Braunschweig CA"

Konsequenz des Wechsels des DFN-PKI-Wurzel-Zertifikats an der TU Braunschweig

An der TU Braunschweig werden wir den Wechsel zum neuen Wurzel-Zertifikat in der DFN-PKI zum 04. Dezember 2017 beginnen. Obwohl das alte Wurzel-Zertifikat noch bis Anfang Juli 2019 gültig ist, empfiehlt es sich, den Wechsel nun zu beginnen, damit nicht im Juli 2019 alle Zertifikate auf einmal zu erneuern sind.

Sie müssen also nicht alle Zertifikate auf allen von Ihnen betriebenen Systemen ad hoc tauschen. Aber sobald ein bestehendes Zertifikat zur Erneuerung ansteht oder ein neues System mit einem Zertifikat ausgestattet werden soll, nutzen Sie bereits die neue DFN-PKI.

Am Antragsverfahren selbst ändert sich nichts, nur der Link zur Online-Antragsseite ist ein anderer: https://pki.pca.dfn.de/tu-braunschweig-ca-g2/pub
Egal ob Sie bei einem bestehenden System die Zertifikate erneuern oder für ein neues System neue Zertifikate beantragen: Sie müssen die richtige, neue Zertifizierungskette auf Ihrem Server konfigurieren. https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/chain.txt
Android in der Version 4.4 und ältere Versionen enthalten das neue Wurzel-Zertifikat der neuen DFN-PKI nicht und werden beim Zugriff auf Webserver, die bereits mit neuen Zertifikaten ausgestattet sind, nicht zugreifen können. (Diesen Android-Versionen enthalten diverse Sicherheitsschwachstellen und sollten nicht verwendet werden.)
zertifikate/root-ca-g2.txt · Zuletzt geändert: 2017/12/22 12:24 von pilawa
Gauß-IT-Zentrum