Austausch von DFN Zertifikaten

Der DFN-Verein hat seitens der DFN-PKI am 06.08.2014 einen Austausch des DFN-PCA-Zertifikats Sicherheitsniveau Global vorgenommen.

 

Grundsätzlich hat dies keine unmittelbare Auswirkung auf die Gültigkeit von bereits ausgestellten Nutzer- oder Serverzertifikaten, da es noch zwei andere Zertifikate mit identischem Namen und identischem Schlüssel gibt. Nutzer- und Serverzertifikate müssen nicht neu beantragt und ausgetauscht werden, sie bleiben gültig!

Wichtig: dennoch Handlungsbedarf

Es besteht in einigen Fällen trotzdem Handlungsbedarf. Da das ausgetauschte DFN-PCA-Zertifikat durch die T-Systems in den nächsten Wochen gesperrt werden wird, wird ein Glied in der Vertrauenskette von Nutzer- oder Serverzertifikaten zum Wurzelzertifikat "Deutsche Telekom Root CA 2" ungültig. Der genaue Zeitpunkt der Sperrung ist leider nicht bekannt.

Wer ist betroffen?

Betroffen sind Zertifikatnehmer der RWTH-CA, die nach Mitte Mai 2014 ein neues Nutzer- oder Serverzertifikat ausgestellt bekommen haben, und selbst die Zertifizierungskette von den Antragsseiten in ihre Software importiert haben.

Für diese Zertifikatinhaber bedeutet das: Haben Sie das Zertifikat "CN=DFN-Verein PCA Global - G01" mit Gültigkeitsbeginn 12.05.2014 bis einschl. 05.08.2014 in einer Software installiert, so müssen sie es jetzt austauschen. Der einfachste Weg zum Austausch des DFN-PCA-Zertifikats ist der erneute Import der CA-Zertifikate, wie es der Zertifikatinhaber auch direkt bei der Beantragung durchgeführt hat.

Was tun?

Besuchen Sie dazu die gleiche DFN-Webseite wie bei der Zertifikat-Beantragung.

• Klicken Sie hier auf den Link "CA-Zertifikate" und anschließend auf „DFN-PCA-Zertifikat SHA-1“.
• Öffnen Sie dann das Zertifikat und klicken in dem neu geöffneten Fenster auf den Button „Zertifikat installieren“.
• Bestätigen Sie die beiden folgenden Fenster stets mit „weiter“ bevor abschließend die Meldung "Der Importvorgang war erfolgreich" erscheint.

Der DFN-Verein bedauert diesen Umstand.