Der Dienstleister Sectigo hat den Vertrag zwischen ihm und GÉANT gekündigt, auf dessen Basis der Trusted Certificate Service (TCS) im Rahmen der DFN-PKI erbracht wird.

Zwischen Sectigo und GÉANT gibt es Uneinigeit über zentrale Vertragsfragen. Dies betrifft u.a. den Zeitpunkt, zu dem die Kündigung wirksam werden soll, und die Leistungserbringung an einzelne versorgte Einrichtungen.

Der aktuelle Stand ist, dass Sectigo den Vertrag schriftlich gekündigt hat und die Verhandlungen über eine Verlängerung gescheitert sind. Wir gehen derzeit davon aus, dass dies keine Option ist, da Sectigo keine Bereitschaft zeigt, die aktuellen Bedingungen mit sinnvollen oder nachvollziehbaren Anpassungen fortzuführen.

Die aktuelle Vertragsperiode von GÉANT mit Sectigo endet Ende April 2025. Sectigo interpretiert die Vertragslage derart, dass sie bereits zum 10.01.2025 die Leistungserbringung beenden können. Wir müssen davon ausgehen, dass Sectigo spätestens zu diesem Zeitpunkt die Ausstellung von Zertifikaten einstellt.

Durch eine zeitnahe Erneuerung der Zertifikate vor Ende der Leistungserbringung verschaffen Sie sich mehr Spielraum für Anpassungen in Ihrer Organisation. Dies empfiehlt sich auf jeden Fall für geschäftskritische Zertifikate oder Zertifikate, die bald ablaufen.

Der Vertragspartner von Sectigo ist GÉANT. GÉANT prüft, welche Schritte sinnvoll und rechtlich möglich sind. Dies wird aber vor allem aus Zeitgründen keine Lösung für die Nichterbringung der Leistung nach dem 10.01. bringen, da eine mögliche entsprechende Rechtsklärung wohl zu spät erfolgen würde.

1. Statten Sie Ihre kritischen Server in den nächsten Wochen mit neuen Zertifikaten aus (auch vorzeitig).

2. Setzen Sie Automatisierung über ACME um. Jeder Anbieter in TCS wird ACME zur Verfügung stellen. Auch kurzfristig verfügbare Alternative wie Let's Encrypt oder ZeroSSL setzen ACME voraus.

3. Denken Sie daran, dass Ihre Organisation gegebenenfalls die Zertifikatausstellung per CAA auf bestimmte Zertifizierungsstellen eingeschränkt hat: https://doku.tid.dfn.de/de:dfnpki:tcs:caa

   - Prüfen Sie, über welche organisatorischen Prozesse Sie die CAA-Records auf andere Anbieter ändern lassen können.

   - Prüfen Sie für maximale Flexibilität, ob Sie ggf. ganz auf CAA-Records verzichten möchten.

4. Prüfen Sie, ob Sie Anwendungsfälle mit TCS-Zertifikaten realisiert haben, für die die Browserverankerung nicht notwendig ist. Dies betrifft potentiell alle Anwendungsfälle, die nicht der Absicherung von Webservern per HTTPS umfassen. https://doku.tid.dfn.de/de:dfnpki:dfnvereincommunitypki

1. Prüfen Sie, ob Sie Client-Authentifizierung mit User-Zertifikaten einsetzen. Wenn ja: Stellen Sie dies auf die DFN-Verein Community-PKI oder eine andere PKI um, die nicht Bestandteil der Web-PKI ist. (https://doku.tid.dfn.de/de:dfnpki:dfnvereincommunitypki)

2. Prüfen Sie für die Anwendungsfälle S/MIME und Dokumentensignatur, ob diese ggf. auch mit DFN-Verein Community-PKI funktionieren würden. Dies kann z.B. der Fall sein, wenn das Hauptziel die verschlüsselte interne Kommunikation oder interne Verifikation von Dokumentensignaturen ist.

3. Prüfen Sie, ob in Ihrer Organisation S/MIME-Mail-Gateways im Einsatz sind, in denen eine Anbindung an Sectigo umgesetzt wurde. Für diese muss in Zusammenarbeit mit dem Hersteller des Mail-Gateways ebenfalls eine Lösung gefunden werden.

Prüfen Sie, ob in Ihrer Organisation vom Sectigo-spezifischen API Gebrauch gemacht wurde. Dieses wird bei einem Wechsel des Dienstleisters nicht mehr zur Verfügung stehen. https://doku.tid.dfn.de/de:dfnpki:tcs:restapi

Es gibt eine kleine Auswahl an CAs, die ohne Vertragsbeziehung und Kosten Zertifikate ausstellen, u.a. Let's Encrypt und ZeroSSL.

Die Zertifikate aus diesen CAs beinhalten keinen Organisationsnamen (ausschließlich DV, Domain-validated). Die Zertifikatausstellung erfordert stets eine Prüfung der Kontrolle über die Domain, die aber vollautomatisch über ACME durchgeführt wird.

Die Zertifikate sind voll funktionsfähig und sicher.

Eine Wiederbelebung der DFN-PKI Global ist nicht möglich. In den wenigen Monaten seit Aussetzen der DFN-PKI Global haben sich die Anforderungen an den Betrieb in einem derart rasanten Tempo weiterentwickelt, dass eine Anpassung der Alt-Systeme nicht mehr möglich ist. Wiederaufnahme des Betriebes hätte eine sofortige Non-Compliance und Sperrung aller Zertifikate zur Folge.

Bei einigen Einrichtungen blockiert Sectigo derzeit die Zertifikatvergabe und fordert Nachweise zur Nutzungsberechtigung gemäß des Vertrags zwischen GÉANT und Sectigo. Dies äußert sich beispielsweise durch eine Fehlermeldung bei der Zertifkatausstellung: Certificate has been rejected: Pre Validation ID 123456789 is not available.

Betroffen sind Einrichtungen, von denen Sectigo nach uns nicht bekannten Parametern behauptet, dass sie weder Teil des jeweiligen Forschungsnetzes wären, noch dass sie in den Bereich „Forschung“ passten.

Selbstverständlich waren und sind alle am DFN teilnehmenden Einrichtungen, auch nach Einschätzung GÉANTs, berechtigt, den Dienst zu nutzen. Trotzdem gehen wir aktuell nicht davon aus, dass wir seitens DFN oder GÉANT etwas unternehmen können, um diese Einrichtungen zumindest bis zum 10.01. wieder freizuschalten.

Die Blockade durch Sectigo ist im Cert-Manager auch für uns nicht sichtbar. Falls Sie hiervon betroffen sind, wenden Sie sich bitte direkt an die DFN-PCA (dfnpca@dfn-cert.de).