Veröffentlicht: 26.11.2024 (aktualisiert: 29.11.2024). 🔗 Permalink

Was ist mTLS (Mutual TLS)?

Die durch die SU-TermServ gehostete Instanz ist mittels Mutual-TLS gesichert. Dies bedeutet, dass bei jedem Zugriff auf den Endpunkt ein beidseitiger Zertifikatsaustausch stattfindet, somit ist auch auf Ihrer Seite ein entsprechendes Zertifikat einzurichten und bei jedem Verbindungsaufbau zu präsentieren ist:

Die Beantragung eines entsprechendes Zertifikats ist hier beschrieben. Zur Einrichtung des Zertifikats in Browsern ist hier eine Anleitung zu finden.

Die SU-TermServ verwendet mTLS, um die vertragliche Bedindung sicherzustellen, dass ein Zugriff auf die Ontoserver-Instanzen nur aus Deutschland erfolgen darf.

Aktuelle Situation um GÉANT und Sectigo

In den vergangenen Tagen wurde bekannt, dass Sectigo ihre Vertragsbeziehung mit dem GÉANT-Verbund aufgrund von Differenzen gekündigt hat. Seit einigen Jahren wurde die bisherige PKI des Deutschen Forschungsnetz (DFN) durch die Dienste der GÉANT abgelöst, wofür durch GÉANT wiederum ein Auftrag zur Ausstellung von Zertifikaten an Sectigo vergeben wurde. Nach aktuellem Kenntnisstand am 14.11.2024 ist voraussichtlich ab spätestens dem 10.01.2025 keine Beantragung von Zertifikaten über Sectigo mehr möglich. Bislang ist nicht bekannt, inwiefern GÉANT eine neue Vertragsbeziehung zu einem Subunternehmer eingeht, oder ob durch die DFN ein anderer Partner gesucht wird. Fest steht, dass im kommenden Jahr alle Server-Zertifikate ablaufen werden (diese werden nur für ein Jahr ausgestellt), ggf. auch persönliche Zertifikate (in der Regel sind diese drei Jahre gültig), und somit ein Handlungsbedarf bei allen Standorten, die die Zertifizierungsdienste der GÉANT nutzen, anfallen wird. Das DFN empfiehlt daher, noch in den kommenden Wochen bis zum Jahreswechsel die Verlängerung aller Zertifikate vor dem Ablaufdatum vorzunehmen, um die notwendigen Arbeiten in die Zukunft zu verschieben. Die SU-TermServ wird die Situation verfolgen, und selbstverständlich neue Zertifizierungs-Chains in die Liste der zulässigen Aussteller aufnehmen. Die Sicherheit des Zugriffs auf unsere Dienste ist durch diese Umstellung zu keinem Zeitpunkt gefährdet. Wir werden über weitere Schritte über die Kanäle der Koordinierungsstelle und auf dieser Website informieren.