DFN-PKI – Deutsches Forschungsnetz Public-Key-Infrastruktur

Die TUHH beteiligt sich an der DFN-PKI Hierarchie und stellt über die Zertifizierungsstelle (Zertifizierungsinstanz) "DFN-Verein Global Issuing CA" Zertifikate aus.

Diese CA dient primär für die Ausstellung von Server-Zertifikaten. Viele Dienste im Rechenzentrum, wie z.B. das Mailsystem und unsere Webserver nutzen solche Server-Zertifikate. User Zertifikate werden nur in besonderen Einzelfällen ausgestellt.

Neue Zertifikate werden unter dem Sicherheitniveau Global ausgestellt. Dadurch sollte in der Regel in allen Anwendungen die Notwendigkeit entfallen, Wurzelzertifikate manuell zu importieren. Das manuelle Importieren des Wurzelzertifikats sollte nur noch in Einzelfällen nötg sein.

In der Praxis ist für den Anwender der Umgang mit Zertifikaten eine komplizierte Angelegenheit. Wir haben deshalb für Sie weitere Informationen und Erklärungen vorbereitet:

Der Hashalgorithmus SHA-1 wird mittlerweile nicht mehr als sicher betrachtet. Microsoft-Produkte werden ab Anfang 2017 Zertifikate mit SHA-1 nicht mehr als gültig erkennen. Bis Ende 2016 müssen daher alle Zertifikate gegen SHA-2 signierte Zertifikate ausgetauscht werden. Siehe Fragen und Antworten zur Umstellung von SHA-1 auf SHA-2 in der DFN-PKI.

Google Chrome wird ab November 2014 bei Verbindungen mit Webservern, die noch kein SHA-2 signiertes Zertifikat haben, warnen. Siehe DFN PKI Blog: Google Chrome und SHA-1 Zertifikate.