Zertifikat in der Web-PKI oder der DFN-PKI ?
Die Zertifizierungsstelle der Universität Rostock kann SSL-Zertifikate in der Web-PKI und der DFN Community PKI ausstellen. Jede dieser Public Key Infrastructures hat Ihre eigenen Besonderheiten, die zu berücksichtigen sind.
Web-PKI
Die Web-PKI ist ein global zusammenarbeitendes Netzwerk von Zertifizierungsstellen, wobei deren Root-Zertfikate in jedem Browser und in jedem Betriebssystem gewöhnlich vorinstalliert (verankert) sind. Auf diese Weise können alle Zertifikate innerhalb dieser PKI auf jedem Rechner der Welt auf ihre Echtheit geprüft werden. Zertifikate in der Web-PKI sind also das Mittel der Wahl, wenn ein öffentlicher Dienst (Webserver, E-Mail-Server...) betrieben wird.
Trotz der Vorteile der Web-PKI muss auch festgehalten werden, dass die strategische Entwicklung dieser globalen PKI vom sogenannten CA/Browser Forum bestimmt wird. Dieses hat zum Beispiel beschlossen, dass die Gültigkeit von SSL-Zertifikaten von 3 Jahren auf 1 Jahr reduziert wird. Der dadurch gestiegene Arbeitsaufwand an großen Einrichtungen mit hunderten öffentlichen Servern ist enorm.
Hinzu kommt, dass Zertifikate in großem Umfang von Dritten über sogenannte Zertifikatssperrlisten für ungültig erklärt werden können, bspw. wenn ein Root-Zertifikat kompromitiert wurde. In diesem Fall kann kritische IT-Infrastruktur ohne eigenes Verschulden sehr kurzfristig lahmgelegt werden. Sollen also nicht-öffentliche kritische Systeme abgesichert werden, so kann die DFN Community PKI eventuell besser geeignet sein.
DFN Community PKI
Die DFN Community PKI ist als eine Antwort auf die immer kürzer werdenden Gültigkeiten von Zertifikaten in der Web-PKI zu sehen. Insbesondere bei der nicht-öffentlichen Server-Server-Kommunikation (z.B. Domain-Controller, Datenbank-Cluster...) kann der jährliche Tausch von Zertifkaten sehr aufwendig und mit Ausfallzeiten verbunden sein. Da die Web-PKI keine Ausnahmen zulässt, hat sich die DFN Community PKI von dieser losgelöst. Damit erlaubt sie nun wieder Zertifikatsgültigkeiten von bis zu 3 Jahren.
Die Abtrennung von der Web-PKI bedeutet aber auch, dass das Root-Zertifikat der DFN Community PKI auf keinem Rechner installiert ist. Sollen Zertifikate dieser PKI auf den angeschlossen Systemen überprüft werden, muss jeweils einmalig deren Root-Zertifikat installiert werden. Damit sind Zertifikate dieser PKI nicht für öffentliche Dienste vorgesehen, da hier alle zugreifenden Personen das Root-Zertifikat auf ihrem Rechner nachinstallieren müssten.
Kontakt
Zertifikatsservice
cauni-rostockde
Albert-Einstein-Str. 22
18059 Rostock
Martin Sievers-Luboschik
Tel: +49 381 498-5328
Martin Röhlig
Tel: +49 381 498-5327
Jörg Maletzky
Tel: +49 381 498-5339
Jörg Zerbe
Tel: +49 381 498-5320