Die DFN-PKI und damit auch die KIT-CA G2 wird nach dem 30.12.2022 keine neuen Serverzertifikate mehr ausstellen. Alle bis dahin ausgestellten Zertifikate behalten bis zu dem im Zertifikat angegebenen Gültigkeitsende ihre Gültigkeit.
Am KIT gibt es zukünftig zwei neue Möglichkeiten, global gültige x509-Zertifikate zu erhalten:
- Let's Encrypt mit KIT-spezifischem DNS-Plugin (https://docs.ca.kit.edu/acme4netvs/en/)
- GÉANT Trusted Certificate Services (der offizielle Nachfolgedienst vom der DFN-PKI)
Das SCC empfiehlt jedoch den betroffenen Dienstebetreibenden zeitnah auf Zertifikate von Let's Encrypt umzusteigen und den Prozess dafür zu automatisieren.
Der Einsatz von GÉANT TCS ist aktuell aus verschiedenen Gründen noch nicht nutzbar und wird daher aktuell nicht empfohlen. In 2023 wird das SCC aber auch für GÉANT TCS einen Prozess bereitstellen und diesen unter www.ca.kit.edu dokumentieren.
Im vergangenen Jahr hat das SCC ausführlich über diese Umstellung und das geplante Vorgehen im IT-Expertenkreis informiert [1][2]. Zudem wurden betroffene Zertifikatsinhaber direkt per Mail aufgeklärt, um frühzeitig agieren zu können.
Zur weiteren Unterstützung hat das CERT-Team mehrere Sprechstunden für Interessierte angeboten, um aufgetauchte Fragen und Probleme bei der Umsetzung der vom SCC empfohlenen Lösung mit Let's Encrypt gemeinsam zu klären.
Noch bis zum 15.12.2022 können Serverzertifikate nach dem bisherigen Verfahren. beantragt und bis Ende 2023 genutzt werden. Damit ist die Umstellung durch Dienstbetreibende auf das neue Verfahren erst im Laufe des kommenden Jahres 2023 erforderlich.
[1] https://www.ca.kit.edu/downloads/018c9d1dc502dc123ca7a1b63a19f01c9b143de800ddc8f30e19c0e69a5d204f.pdf
[2] https://www.ca.kit.edu/downloads/fc91dd1b222da5bd902063ce3f5eb1ef9a6b14e908e60189ea7328bfaf802a51.pdf