Neue Hierarchie für digitale Zertifikate

Digitale Zertifikate spielen bei der vertraulichen Kommunikation im Internet eine entscheidende Rolle. Sie ermöglichen die Identifikation eines unbekannten Partners, sei es die eines Webservers oder die eines E-Mail-Kontaktes. Wichtig ist, dass die Ausstellung eines solchen Zertifikates gewissenhaft erfolgt – ähnlich der Ausstellung eines Ausweisdokuments. Für die TU Chemnitz prüft das URZ im Rahmen der Zertifizierungsinfrastruktur des Deutschen Forschungsnetzes (DFN-PKI) Anträge für persönliche Zertifikate und Server-Zertifikate, die dann von der DFN-PKI ausgestellt werden.

Damit diese Zertifikate von Webbrowsern und E-Mail-Programmen akzeptiert werden, sind unsere Zertifikate in eine Zertifikatshierarchie eingebunden, die eine Vertrauenskette darstellt. Verankert ist diese Kette in Betriebssystemen und Webbrowsern durch „Wurzelzertifikate“. Wie Ausweise auch haben alle digitalen Zertifikate eine befristete Gültigkeit. So ist das Wurzelzertifikat unserer Zertifikate – „Deutsche Telekom Root CA 2“ – bis zum 9. Juli 2019 gültig. Noch lange hin, mag man meinen. Logischerweise können ausgestellte Zertifikate in dieser Kette auch nur bis zu diesem Tag gültig sein. Daher wollen wir neue Zertifikate jetzt schon über die neue „DFN-Verein Certification Authority 2“ ausstellen lassen, denn diese hat als Wurzelzertifikat „T-Telesec GlobalRoot Class 2“, das bis 2033 gültig ist. Damit ergibt sich künftig folgende Zertifikatskette:

T-Telesec GlobalRoot Class 2 (Wurzelzertifikat) → DFN-Verein Certification Authority 2
→ DFN-Verein Global Issuing CA → server.subdomain.tu-chemnitz.de bzw. Name

Die Laufzeit von Serverzertifikaten bleibt bei drei Jahren und drei Monaten, die von persönlichen Nutzerzertifikaten zur digitalen Signatur und Verschlüsselung von E-Mails bei drei Jahren.

Was verändert sich für Nutzer unserer gesicherten Web- und E-Mail-Server?

Wer sich die Zertifikate nicht näher ansieht, wird gar nichts bemerken. Für Administratoren von Servern, die ein neues Zertifikat beauftragen, gibt es jedoch zu beachten, dass in den Servern die neue Zertifikatskette verfügbar gemacht werden muss. Im Apache httpd erfolgt das z. B. über die Konfigurationsoption SSLCertificateChainFile.Die dazugehörige Datei mit den Zertifikaten der Kette finden Sie auf vom URZ administrierten Linux-Servern unter /etc/pki/tls/certs/ca-chain2-noroot.crt bzw. hier zum Download.

Es wäre wirklich zu schön, wenn der Wechsel der Zertifikatshierarchie völlig reibungslos ablaufen würde, nicht wahr? Leider gibt es doch einen Haken: Betrachten Sie den Inhalt der o. g. Datei näher, entdecken Sie außer den Zertifikaten der o. g. Kette ein weiteres, ein sogenanntes Cross-Zertifikat. Dieses ist notwendig, weil Geräte mit Android-Systemen Version 4.4 oder kleiner das neue Wurzelzertifikat „T-Telesec GlobalRoot Class 2“ nicht kennen, sondern nur das 2019 ablaufende Zertifikat. Dieses Cross-Zertifikat schließt quasi diese Lücke und funktioniert genau bis zum 9. Juli 2019. Das heißt, ab diesem Tag werden Android-4-Geräte nicht mehr ohne Weiteres in unserer Infrastruktur funktionieren. Außerdem wird es für die WLAN-Konfiguration für eduroam Updates geben müssen, worüber wir rechtzeitig informieren werden.

Weitere Informationen finden Sie auf den Webseiten „Digitale Zertifikate für Server und Personen der TU Chemnitz“, im Blog der DFN-PKI und in der FAQ Generation 2.

Getagged mit: , ,
Veröffentlicht unter Allgemein, IT-Sicherheit, Webdienst

Schreibe einen Kommentar