Dienstbeschreibung


Zertifikate können verwendet werden, um den Eigentümer, sowie weitere Eigenschaften (z. B. E-Mail oder die Zugehörigkeit zu einer Organisation), eines öffentlichen Schlüssels zu verifizieren.

Die verwendeten Schlüssel erlauben es digital zu signieren und/oder eine vertrauliche elektronische Kommunikation mittels Verschlüsselung aufzubauen.

Digitale Signaturen bzw. Unterschriften werden eingesetzt, um folgendes zu gewährleisten:

  • Authentizität/Fälschungsschutz
  • Integrität/Änderungsschutz
  • Verbindlichkeit/Nichtabstreitbarkeit

Die Zertifizierungsstelle "RWTH CA" ist Teil der DFN-PKI (Public Key Infrastructure), hier gilt die DFN-PKI Richtlinie. Ein Antragsteller muss der RWTH zugeordnet werden können.

Die verwendete Zertifikatskette mündet in dem vorkonfigurierten Token der Deutschen Telekom AG, welcher unter anderem bei Browsern automatisch mitgeliefert wird. Hierdurch können die ausgestellten Zertifikate weltweit auf ihre Gültigkeit validiert werden.

Eine mit einem solchen Zertifikat angebrachte digitale Signatur hat nach dem deutschen Signaturgesetz den Status einer „fortgeschrittenen elektronischen Signatur“.

 

Über das neue (Warnung) RWTH-DFN-Zertifizierungsportal können auf einfache Weise Nutzer- oder Server-Zertifikate auf der Basis des Standards X.509 beantragt werden.

Aufgrund des fehlenden Root-Zertifikates im Zertifikatsspeicher älterer Betriebsysteme (Android <= 4.4) kommt es bei der Überprüfung der Zertifikatskette zu Problemen.

Über das alte RWTH-DFN-Zertifizierungsportal können auf einfache Weise Nutzer- oder Server-Zertifikate auf der Basis des Standards X.509 beantragt werden.

Diese sind noch bis zum 10.07.2019 gültig.

 

Es können folgende Zertifikate beantragt werden:

  • Nutzerzertifikate für Mail-Adressen (bspw. der Domäne @rwth-aachen.de und ihrer Unterdomänen)
    → eine detailierte Anleitung ist hier beschrieben
  • Serverzertifikate für Server aus der rwth-aachen.de Domäne
    → eine detaillierte Anleitung ist hier beschrieben

 

 

Für die Nutzung von Grid-Diensten werden X.509 Grid Zertifikate, die über das RWTH Aachen Grid RA Zertifizierungsportal beantragt werden können, ausgestellt.

Hier gelten die DFN Grid-Richtlinien.

 

 

 

News


  1. Do Not Panic
    BSI: " Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden." (siehe unten)
  2. die Details beachten
    • Betrifft die Umsetzung des OpenPGP und S/MIME standards
      seit November 2017 Coordinated Vulnerability Disclosure-Prozess
      → Hersteller von E-Mailclients haben diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt.
    • es müssen beim E-Mail Client aktive Inhalte erlaubt sein
    • Angreifer muss Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben.
  3. Was sollte ich tun und was kann ich tun
    • im E-Mail Client bis auf weiteres/Updates die HTML-Ansicht durch reine Text-Ansicht ersetzen
    • im E-Mail Cleint das Nachladen von Inhalten unterbinden
    • die teilweise empfohlene Deaktivierung oder gar Deinstallation ist die schnellste und radikalste Methode
      hier ist auf eine Sicherheitskopie der Schlüssel zu achten.
  4. siehe dazu: