Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:dfnpki:tcsfaq:aktuellesituation [2025/01/03 17:34] – Juergen Brauckmann
+++ de:dfnpki:tcsfaq:aktuellesituation [2025/02/21 09:17] (aktuell) – Juergen Brauckmann
@@ Zeile 3: / Zeile 3: @@
 ===== Worum geht es? =====
-Der bisherige Dienstleister hat den Vertrag zwischen ihm und GÉANT gekündigt, auf dessen Basis der Trusted Certificate Service (TCS) im Rahmen der DFN-PKI erbracht wird.
+Der bisherige Dienstleister hat den Vertrag zwischen ihm und GÉANT gekündigt, auf dessen Basis der Trusted Certificate Service (TCS) im Rahmen der DFN-PKI von 2021 an erbracht wurde. Die Leistungserbringung wurde zum 10.01.2025 eingestellt.
-Derzeit gehen wir davon aus, dass der Dienstleister des bisherigen TCS die Leistungserbringung zum 10.01.2025 einstellen wird.
 ===== Wie geht es weiter? ======
-Der DFN hat in der ersten Dezemberwoche HARICA, einen griechischen Vertrauensdiensteanbieter, mit der Bereitstellung von browserverankerten Zertifikaten beauftragt, um rechtzeitig vor dem 10.01.2025 eine Nachfolgelösung  zu haben.
+Der DFN hat zum Dezember 2024 HARICA, einen griechischen Vertrauensdiensteanbieter, mit der Bereitstellung von browserverankerten Zertifikaten beauftragt. Informationen zum Angebot finden Sie unter: [[de:dfnpki:harica2025|HARICA]]
-HARICA ist Teil des griechischen Universitätsnetzes GUnet und als Vertrauensdiensteanbieter seit vielen Jahren etabliert.
-https://www.harica.gr/
-Der aktuelle Auftrag von DFN an HARICA ist zeitlich befristet, um in der aktuellen Situation ein kontinuierliches Dienstangebot sicherstellen zu können. Wir arbeiten, auch gemeinsam mit GÉANT, daran, eine dauerhafte Lösung zu finden, die keine weiteren kurzfristigen Migrationen erfordert.
-===== Wann können Einrichtungen beim neuen Dienstleister Zertifikate beziehen? =====
-Wir haben im Laufe des Dezembers die DFN-Teilnehmer, zunächst mit Basisfunktionalitäten, in das HARICA-System hineingebracht. Eine erste Ansprechperson wurde bis Ende Dezember benachrichtigt.
-Wir gehen davon aus, dass wir damit zügig eine Grundversorgung erreichen können mit folgenden Eigenschaften:
-  * Validierung der wichtigsten Domains mit Validierungsverfahren  E-Mail oder DNS
-  * Ausstellung von DV-Serverzertifikaten (zunächst ohne  Organisationsnamen) per Web-UI und ggf API
-  * Ausstellung von mailbox-validierten S/MIME E-Mailzertifikaten per  Web-UI und ggf API
-Die Verfügbarkeit von organisationsvalidierten Zertifikaten (OV) hängt  von der Geschwindigkeit ab, mit der Validierungen durchgeführt werden können. Des Weiteren muss HARICA für das Nutzungsprofil von Forschungsnetzen und  seiner vielfältigen Teilnehmer noch einige Voraussetzungen schaffen.
-Die  folgenden Punkte  werden derzeit noch umgesetzt:
-  * SAML-basierte Ausstellung von S/MIME-Zertifikaten
-  * Self-Service für ACME Account Bindings
-  * Strukturiertes Department-Konzept mit Autorisierungen für  Department-Admins
-Dies bedeutet zumindest temporär einige Einschränkungen im Vergleich zur  derzeitigen Funktionalität. Wir haben allerdings die Gewissheit, dass  der Anbieter mit Hochdruck an der Erweiterung seiner Systeme arbeitet,  und hoffen, Ihnen hiermit trotzdem für die wichtigsten Anwendungsfälle  geeignete Möglichkeiten zu schaffen.
-===== Wird der bisherige Dienstleister zum Ende der Leistungserbringung Zertifikate sperren? =====
-Wir halten dies für äußerst unwahrscheinlich. Nach Aussage von GÉANT gibt es klare vertragliche Regelungen, dass nicht gesperrt werden darf.
-Jenseits der vertraglichen Gründe ist eine Sperrung von Zertifikaten aus kommerziellen Gründen (z.B. zum Vertragsende) nach unserer Einschätzung nicht im Interesse von den Root-Programmen der Browser und Betriebssystemhersteller.
-===== Warum wurde in meinem TCS-Zugang die Ausstellung von Zertifikaten deaktiviert? =====
-Bei einigen Einrichtungen blockiert der bisherige Dienstleister derzeit die Zertifikatvergabe und fordert Nachweise zur Nutzungsberechtigung. Dies äußert sich beispielsweise durch eine Fehlermeldung bei der Zertifkatausstellung: ''Certificate has been rejected: Pre Validation ID 123456789 is not available.''
-Betroffen sind Einrichtungen, von denen nach uns nicht bekannten Parametern behauptet wird, dass sie weder Teil des jeweiligen Forschungsnetzes wären, noch dass sie in den Bereich "Forschung" passten.
-Selbstverständlich waren und sind alle am DFN teilnehmenden Einrichtungen, auch nach Einschätzung GÉANTs, berechtigt, den Dienst zu nutzen. Trotzdem gehen wir aktuell nicht davon aus, dass wir seitens DFN oder GÉANT etwas unternehmen können, um diese Einrichtungen zumindest bis zum 10.01. wieder freizuschalten. Die Blockade ist im Cert-Manager auch für uns nicht sichtbar. Falls Sie hiervon betroffen sind, wenden Sie sich bitte direkt an die DFN-PCA (dfnpca@dfn-cert.de).
-Wir haben für alle Einrichtungen einen Zugang im System des neuen Dienstleisters angelegt, so dass die Zertifikatversorgung kurzfristig dot aufgenommen werden kann.
-===== Werden Dokumentensignatur und CodeSigning berücksichtigt? ======
-Dokumentensignatur ist ein sehr wichtiges Thema, dass weiterhin von uns große Beachtung findet.
-CodeSigning hat in der derzeitigen TCS-PKI nur eine sehr geringe Nutzung (64 gültige Zertifikate in 2024-11).
-Beide Themen stehen bei einer kurzfristigen Übertragung an einen anderen Dienstleister zunächst nicht im Fokus, da die verbleibende Zeit nicht für notwendige detailliertere Betrachtungen dieser Themen ausreicht.
-Allerdings hat HARICA im Bereich digitaler Signaturen gemäß der Europäischen Gesetzgebung (e-IDAS) eine breite Angebotspalette, z.B. mit qualifizierten Signaturen und Siegeln (jeweils auch in der Remote-Variante).
-===== Kann die DFN-PKI Global wieder aktiviert werden? =====
-Eine Wiederbelebung der DFN-PKI Global ist nicht möglich. In den wenigen Monaten seit Aussetzen der DFN-PKI Global haben sich die Anforderungen an den Betrieb in einem derart rasanten Tempo weiterentwickelt, dass eine Anpassung der Alt-Systeme nicht mehr möglich ist. Wiederaufnahme des Betriebes hätte eine sofortige Non-Compliance und Sperrung aller Zertifikate zur Folge.
-===== Was können Sie jetzt konkret tun? =====
-=== Zugang zum neuen Dienstleister ===
-Bis zum 20.12.24 konnten alle Einrichtungen in das System des neuen Dienstleisters gebracht und eine erste Ansprechperson in jeder Einrichtung informiert werden. Befassen Sie sich mit dem neuen System und hinterlegen Sie insbesondere die Domains, für die Sie Zertifikate beziehen wollen.
-Eine Zusammenstellung von Informationen finden Sie unter: [[de:dfnpki:harica2025|HARICA]]
-=== Für Server-Zertifikate ===
-. Statten Sie gegebenenfalls Ihre kritischen Server noch mit neuen Zertifikaten aus dem Sectigo-System aus, um mögliche Startschwierigkeiten mit dem neuen Dienstleister zu vermeiden.
-. Denken Sie daran, dass Ihre Organisation gegebenenfalls die Zertifikatausstellung per CAA auf bestimmte Zertifizierungsstellen eingeschränkt hat: https://doku.tid.dfn.de/de:dfnpki:tcs:caa
-   * Prüfen Sie, über welche organisatorischen Prozesse Sie die CAA-Records auf andere Anbieter ändern lassen können.  Werden CAA-Records verwendet, benötigt der neue Anbieter HARICA einen CAA-Record ''harica.gr''
-   * Prüfen Sie für maximale Flexibilität, ob Sie ggf. ganz auf CAA-Records verzichten möchten.
-. Prüfen Sie, ob Sie Anwendungsfälle mit TCS-Zertifikaten realisiert haben, für die die Browserverankerung nicht notwendig ist. Dies betrifft potentiell alle Anwendungsfälle, die nicht der Absicherung von Webservern per HTTPS umfassen. https://doku.tid.dfn.de/de:dfnpki:dfnvereincommunitypki
-=== Für User-Zertifikate ===
-. Prüfen Sie, ob Sie Client-Authentifizierung mit User-Zertifikaten einsetzen. Wenn ja: Stellen Sie dies auf die DFN-Verein Community-PKI oder eine andere PKI um, die nicht Bestandteil der Web-PKI ist. (https://doku.tid.dfn.de/de:dfnpki:dfnvereincommunitypki)
-. Prüfen Sie für die Anwendungsfälle S/MIME und Dokumentensignatur, ob diese ggf. auch mit DFN-Verein Community-PKI funktionieren würden. Dies kann z.B. der Fall sein, wenn das Hauptziel die verschlüsselte interne Kommunikation oder interne Verifikation von Dokumentensignaturen ist.
-. Prüfen Sie, ob in Ihrer Organisation S/MIME-Mail-Gateways im Einsatz sind, in denen eine Anbindung an Sectigo umgesetzt wurde. Für diese muss in Zusammenarbeit mit dem Hersteller des Mail-Gateways ebenfalls eine Lösung gefunden werden.
-=== Generell ===
-Prüfen Sie, ob in Ihrer Organisation vom Sectigo-spezifischen API Gebrauch gemacht wurde. Dieses spezifische API wird nicht mehr zur Verfügung stehen. https://doku.tid.dfn.de/de:dfnpki:tcs:restapi
-HARICA bietet ebenfalls ein API an: https://developer.harica.gr/
-===== Ist es sinnvoll, jetzt alle Zertifikate zu erneuern? =====
-Durch eine zeitnahe Erneuerung der Zertifikate vor Ende der Leistungserbringung des bisherigen Dienstleisters verschaffen Sie sich mehr Spielraum für Anpassungen in Ihrer Organisation. Dies empfiehlt sich auf jeden Fall für geschäftskritische Zertifikate oder Zertifikate, die bald ablaufen.
-===== Kann man Let's  Encrypt verwenden? =====
-Es gibt eine kleine Auswahl an CAs, die ohne Vertragsbeziehung und Kosten Zertifikate ausstellen, u.a. Let's Encrypt und ZeroSSL.
-Die Zertifikate aus diesen CAs beinhalten keinen Organisationsnamen (ausschließlich DV, Domain-validated). Die Zertifikatausstellung erfordert stets eine Prüfung der Kontrolle über die Domain, die aber vollautomatisch über ACME durchgeführt wird.
-Die Zertifikate sind voll funktionsfähig und sicher.
-===== Wie kann man bei Sectigo alle Serverzertifikate per API erneuern? =====
-Hinweise zur Erneuerung von Zertifikaten bei Sectigo per API finden Sie hier: [[de:dfnpki:tcsfaq:aktuellesituation:erneuerung_per_api|de:dfnpki:tcsfaq:aktuellesituation:erneuerung_per_api]]