===== Aktuelle Situation DFN-PKI und TCS ===== ===== Worum geht es? ===== Der bisherige Dienstleister hat den Vertrag zwischen ihm und GÉANT gekündigt, auf dessen Basis der Trusted Certificate Service (TCS) im Rahmen der DFN-PKI erbracht wird. Derzeit gehen wir davon aus, dass der Dienstleister des bisherigen TCS die Leistungserbringung zum 10.01.2025 einstellen wird. ===== Wie geht es weiter? ====== Der DFN hat in der ersten Dezemberwoche HARICA, einen griechischen Vertrauensdiensteanbieter, mit der Bereitstellung von browserverankerten Zertifikaten beauftragt, um rechtzeitig vor dem 10.01.2025 eine Nachfolgelösung zu haben. HARICA ist Teil des griechischen Universitätsnetzes GUnet und als Vertrauensdiensteanbieter seit vielen Jahren etabliert. https://www.harica.gr/ Der aktuelle Auftrag von DFN an HARICA ist zeitlich befristet, um in der aktuellen Situation ein kontinuierliches Dienstangebot sicherstellen zu können. Wir arbeiten, auch gemeinsam mit GÉANT, daran, eine dauerhafte Lösung zu finden, die keine weiteren kurzfristigen Migrationen erfordert. ===== Wann können Einrichtungen beim neuen Dienstleister Zertifikate beziehen? ===== Im Laufe des Dezembers bringen wir die DFN-Teilnehmer, zunächst mit Basisfunktionalitäten, in das HARICA-System hinein. Die Migration aller Einrichtungen wird rechtzeitig vor dem 10.01.2025 abgeschlossen sein. Wir werden hierzu die Basis-Daten der teilnehmenden Organisationen inklusive der ersten Ansprechpersonen in das System von HARICA übermitteln, und Sie informieren, wenn ein Zugang besteht. Wir gehen davon aus, dass wir damit zügig eine Grundversorgung erreichen können mit folgenden Eigenschaften: * Validierung der wichtigsten Domains mit Validierungsverfahren E-Mail oder DNS * Ausstellung von DV-Serverzertifikaten (zunächst ohne Organisationsnamen) per Web-UI und ggf API * Ausstellung von mailbox-validierten S/MIME E-Mailzertifikaten per Web-UI und ggf API Die Verfügbarkeit von organisationsvalidierten Zertifikaten (OV) hängt von der Geschwindigkeit ab, mit der Validierungen durchgeführt werden können. Des Weiteren muss HARICA für das Nutzungsprofil von Forschungsnetzen und seiner vielfältigen Teilnehmer noch einige Voraussetzungen schaffen. Die folgenden Punkte  werden derzeit noch umgesetzt: * Verbesserungen bei der Verwaltung einer großen Anzahl Domains * SAML-basierte Ausstellung von S/MIME-Zertifikaten * Self-Service für ACME Account Bindings * Strukturiertes Department-Konzept mit Autorisierungen für Department-Admins Dies bedeutet zumindest temporär einige Einschränkungen im Vergleich zur derzeitigen Funktionalität. Wir haben allerdings die Gewissheit, dass der Anbieter mit Hochdruck an der Erweiterung seiner Systeme arbeitet, und hoffen, Ihnen hiermit trotzdem für die wichtigsten Anwendungsfälle geeignete Möglichkeiten zu schaffen. ===== Wird der bisherige Dienstleister zum Ende der Leistungserbringung Zertifikate sperren? ===== Wir halten dies für äußerst unwahrscheinlich. Nach Aussage von GÉANT gibt es klare vertragliche Regelungen, dass nicht gesperrt werden darf. Jenseits der vertraglichen Gründe ist eine Sperrung von Zertifikaten aus kommerziellen Gründen (z.B. zum Vertragsende) nach unserer Einschätzung nicht im Interesse von den Root-Programmen der Browser und Betriebssystemhersteller. ===== Warum wurde in meinem TCS-Zugang die Ausstellung von Zertifikaten deaktiviert? ===== Bei einigen Einrichtungen blockiert der bisherige Dienstleister derzeit die Zertifikatvergabe und fordert Nachweise zur Nutzungsberechtigung. Dies äußert sich beispielsweise durch eine Fehlermeldung bei der Zertifkatausstellung: ''Certificate has been rejected: Pre Validation ID 123456789 is not available.'' Betroffen sind Einrichtungen, von denen nach uns nicht bekannten Parametern behauptet wird, dass sie weder Teil des jeweiligen Forschungsnetzes wären, noch dass sie in den Bereich "Forschung" passten. Selbstverständlich waren und sind alle am DFN teilnehmenden Einrichtungen, auch nach Einschätzung GÉANTs, berechtigt, den Dienst zu nutzen. Trotzdem gehen wir aktuell nicht davon aus, dass wir seitens DFN oder GÉANT etwas unternehmen können, um diese Einrichtungen zumindest bis zum 10.01. wieder freizuschalten. Die Blockade ist im Cert-Manager auch für uns nicht sichtbar. Falls Sie hiervon betroffen sind, wenden Sie sich bitte direkt an die DFN-PCA (dfnpca@dfn-cert.de). Wir bringen die betroffenen Einrichtungen derzeit mit Hochdruck in das neue System mit dem neuen Dienstleister. ===== Werden Dokumentensignatur und CodeSigning berücksichtigt? ====== Dokumentensignatur ist ein sehr wichtiges Thema, dass weiterhin von uns große Beachtung findet. CodeSigning hat in der derzeitigen TCS-PKI nur eine sehr geringe Nutzung (64 gültige Zertifikate in 2024-11). Beide Themen stehen bei einer kurzfristigen Übertragung an einen anderen Dienstleister zunächst nicht im Fokus, da die verbleibende Zeit nicht für notwendige detailliertere Betrachtungen dieser Themen ausreicht. Allerdings hat HARICA im Bereich digitaler Signaturen gemäß der Europäischen Gesetzgebung (e-IDAS) eine breite Angebotspalette, z.B. mit qualifizierten Signaturen und Siegeln (jeweils auch in der Remote-Variante). ===== Kann die DFN-PKI Global wieder aktiviert werden? ===== Eine Wiederbelebung der DFN-PKI Global ist nicht möglich. In den wenigen Monaten seit Aussetzen der DFN-PKI Global haben sich die Anforderungen an den Betrieb in einem derart rasanten Tempo weiterentwickelt, dass eine Anpassung der Alt-Systeme nicht mehr möglich ist. Wiederaufnahme des Betriebes hätte eine sofortige Non-Compliance und Sperrung aller Zertifikate zur Folge. ===== Was können Sie jetzt konkret tun? ===== === Für Server-Zertifikate === 1. Statten Sie Ihre kritischen Server in den nächsten Wochen mit neuen Zertifikaten aus (auch vorzeitig). 2. Setzen Sie Automatisierung über ACME um. Jeder Anbieter in TCS wird ACME zur Verfügung stellen. Auch kurzfristig verfügbare Alternative wie Let's Encrypt oder ZeroSSL setzen ACME voraus. **Hinweis:** HARICA unterstützt zwar ACME, es gibt derzeit aber noch keine Möglichkeiten zu Verwaltung von ACME Accounts wie beim bisherigen Dienstleister. HARICA arbeitet mit Hochdruck an weiteren Features. 3. Denken Sie daran, dass Ihre Organisation gegebenenfalls die Zertifikatausstellung per CAA auf bestimmte Zertifizierungsstellen eingeschränkt hat: https://doku.tid.dfn.de/de:dfnpki:tcs:caa - Prüfen Sie, über welche organisatorischen Prozesse Sie die CAA-Records auf andere Anbieter ändern lassen können. – Werden CAA-Records verwendet, benötigt der neue Anbieter HARICA einen CAA-Record „“harica.gr” - Prüfen Sie für maximale Flexibilität, ob Sie ggf. ganz auf CAA-Records verzichten möchten. 4. Prüfen Sie, ob Sie Anwendungsfälle mit TCS-Zertifikaten realisiert haben, für die die Browserverankerung nicht notwendig ist. Dies betrifft potentiell alle Anwendungsfälle, die nicht der Absicherung von Webservern per HTTPS umfassen. https://doku.tid.dfn.de/de:dfnpki:dfnvereincommunitypki === Für User-Zertifikate === 1. Prüfen Sie, ob Sie Client-Authentifizierung mit User-Zertifikaten einsetzen. Wenn ja: Stellen Sie dies auf die DFN-Verein Community-PKI oder eine andere PKI um, die nicht Bestandteil der Web-PKI ist. (https://doku.tid.dfn.de/de:dfnpki:dfnvereincommunitypki) 2. Prüfen Sie für die Anwendungsfälle S/MIME und Dokumentensignatur, ob diese ggf. auch mit DFN-Verein Community-PKI funktionieren würden. Dies kann z.B. der Fall sein, wenn das Hauptziel die verschlüsselte interne Kommunikation oder interne Verifikation von Dokumentensignaturen ist. 3. Prüfen Sie, ob in Ihrer Organisation S/MIME-Mail-Gateways im Einsatz sind, in denen eine Anbindung an Sectigo umgesetzt wurde. Für diese muss in Zusammenarbeit mit dem Hersteller des Mail-Gateways ebenfalls eine Lösung gefunden werden. === Generell === Prüfen Sie, ob in Ihrer Organisation vom Sectigo-spezifischen API Gebrauch gemacht wurde. Dieses spezifische API wird nicht mehr zur Verfügung stehen. https://doku.tid.dfn.de/de:dfnpki:tcs:restapi HARICA bietet ebenfalls ein API an: https://developer.harica.gr/ ===== Ist es sinnvoll, jetzt alle Zertifikate zu erneuern? ===== Durch eine zeitnahe Erneuerung der Zertifikate vor Ende der Leistungserbringung des bisherigen Dienstleisters verschaffen Sie sich mehr Spielraum für Anpassungen in Ihrer Organisation. Dies empfiehlt sich auf jeden Fall für geschäftskritische Zertifikate oder Zertifikate, die bald ablaufen. ===== Kann man Let's Encrypt verwenden? ===== Es gibt eine kleine Auswahl an CAs, die ohne Vertragsbeziehung und Kosten Zertifikate ausstellen, u.a. Let's Encrypt und ZeroSSL. Die Zertifikate aus diesen CAs beinhalten keinen Organisationsnamen (ausschließlich DV, Domain-validated). Die Zertifikatausstellung erfordert stets eine Prüfung der Kontrolle über die Domain, die aber vollautomatisch über ACME durchgeführt wird. Die Zertifikate sind voll funktionsfähig und sicher. ===== Wie kann man bei Sectigo alle Serverzertifikate per API erneuern? ===== Hinweise zur Erneuerung von Zertifikaten bei Sectigo per API finden Sie hier: [[de:dfnpki:tcsfaq:aktuellesituation:erneuerung_per_api|de:dfnpki:tcsfaq:aktuellesituation:erneuerung_per_api]]