Veröffentlicht: 26.11.2024 (aktualisiert: 29.11.2024). 🔗 Permalink
Was ist mTLS (Mutual TLS)?
Die durch die SU-TermServ gehostete Instanz ist mittels Mutual-TLS gesichert. Dies bedeutet, dass bei jedem Zugriff auf den Endpunkt ein beidseitiger Zertifikatsaustausch stattfindet, somit ist auch auf Ihrer Seite ein entsprechendes Zertifikat einzurichten und bei jedem Verbindungsaufbau zu präsentieren ist:
Die Beantragung eines entsprechendes Zertifikats ist hier beschrieben. Zur Einrichtung des Zertifikats in Browsern ist hier eine Anleitung zu finden.
Die SU-TermServ verwendet mTLS, um die vertragliche Bedindung sicherzustellen, dass ein Zugriff auf die Ontoserver-Instanzen nur aus Deutschland erfolgen darf.
Auf unseren Servern wird die Validierung Ihres Zertifikats seitens des Reverse Proxy durchgefĂĽhrt. Sofern Ihre Anfrage nicht zugelassen ist, erreicht die Anfrage nie den zugrundeliegenden Dienst.
Durch die Verlagerung der Validierung in die Anwendungsschicht auf Ebene 7 des ISO/OSI-Referenzmodells (statt auf Ebene 4 in der Transport-Schicht) können wir differenziert unterscheiden, ob eine Authentifizierung erfolgreich ist. So sind für OPTIONS- und HEAD-Requests grundsätzlich keine Zertifikate erforderlich, auch statische Assets sind ohne Zertifikat abrufbar. Wenn Sie Probleme beim Zugriff auf unsere Dienste haben, ist es lohnenswert, einen Blick in die übermittelten Header der HTTP(S)-Antwort zu werfen. Das Validierungsergebnis mitteln die Dienste transparent im Header X-SUTS-TLS-Verification zurück. Die von uns ermittelte IP-Zone kommunizieren wir im Header X-SUTS-IP-Zone.
Wir behalten uns weiterhin vor, IP-Adressen bei missbräuchlicher Nutzung permanent zu sperren.
Aktuelle Situation um GÉANT und Sectigo (aktualisiert am 16.12.2024)
Das DFN hat bekannt gegeben, dass Sectigo ihre Vertragsbeziehung mit dem GÉANT-Verbund aufgrund von Differenzen gekündigt hat.
Das DFN hat am 13.12.2024 nun bekannt gegeben, dass eine neue Vertragsbeziehung zwischen dem DFN und dem grichischen Anbeter HARICA als Übergangslösung geschlossen wurde. Mehr Informationen finden Sie regelmäßig aktualisiert auf den Seiten des DFN zur aktuellen Situation und zu den durch HARICA angebotenen Diensten im Speziellen. Wir werden die HARICA-Zertifikate selbstverständlich–sobald mehr Informationen vorliegen–zur Authentifizierung akzeptieren.
Nach aktuellem Kenntnisstand am 16.12.2024 ist ab spätestens dem 10.01.2025 keine Beantragung von Zertifikaten über Sectigo mehr möglich.
Das DFN empfiehlt weiterhin, noch in den kommenden Wochen bis zum Jahreswechsel die Verlängerung aller Zertifikate vor dem Ablaufdatum vorzunehmen, um die notwendigen Arbeiten in die Zukunft zu verschieben.
Die Sicherheit des Zugriffs auf unsere Dienste ist durch diese Umstellung zu keinem Zeitpunkt gefährdet. Wir werden über weitere Schritte über die Kanäle der Koordinierungsstelle und auf dieser Website informieren.