DFN-PKI Deutsches Forschungsnetz Public-Key-Infrastruktur
Die TUHH beteiligt sich an der DFN-PKI Hierarchie und stellt über die Zertifizierungsstelle (Zertifizierungsinstanz) "DFN-Verein Global Issuing CA" Zertifikate aus.Diese CA dient primär für die Ausstellung von Server-Zertifikaten. Viele Dienste im Rechenzentrum, wie z.B. das Mailsystem und unsere Webserver nutzen solche Server-Zertifikate. User Zertifikate werden nur in besonderen Einzelfällen ausgestellt.
Neue Zertifikate werden unter dem Sicherheitniveau Global ausgestellt. Dadurch sollte in der Regel in allen Anwendungen die Notwendigkeit entfallen, Wurzelzertifikate manuell zu importieren. Das manuelle Importieren des Wurzelzertifikats sollte nur noch in Einzelfällen nötg sein.
In der Praxis ist für den Anwender der Umgang mit Zertifikaten eine komplizierte Angelegenheit. Wir haben deshalb für Sie weitere Informationen und Erklärungen vorbereitet:
- Was sind (Wurzel-)Zertifikate, warum sind diese wichtig und wie geht man damit um?
- Wie importiere ich die Wurzelzertifikate in meinen Browser/Mailprogramm?
- Wie bekomme ich ein Zertifikat für meinen Web-Server?
Der Hashalgorithmus SHA-1 wird mittlerweile nicht mehr als sicher betrachtet. Microsoft-Produkte werden ab Anfang 2017 Zertifikate
mit SHA-1 nicht mehr als gültig erkennen. Bis Ende 2016 müssen daher alle Zertifikate gegen SHA-2 signierte Zertifikate
ausgetauscht werden. Siehe Fragen und Antworten zur Umstellung von SHA-1 auf SHA-2 in der DFN-PKI.
Google Chrome wird ab November 2014 bei Verbindungen mit Webservern, die noch kein SHA-2 signiertes Zertifikat haben, warnen. Siehe DFN PKI Blog: Google Chrome und SHA-1 Zertifikate.
Google Chrome wird ab November 2014 bei Verbindungen mit Webservern, die noch kein SHA-2 signiertes Zertifikat haben, warnen. Siehe DFN PKI Blog: Google Chrome und SHA-1 Zertifikate.