Austausch des DFN-PCA-Zertifikats, Sicherheitsniveau Global

In Umstellung der DFN-PKI (Sicherheitsniveau Global) auf SHA-2  hatten wir beschrieben, wie der Hash-Algorithmus der DFN-PKI vom veralteten SHA-1 auf SHA-2 vorgenommen wird.

Für diese Umstellung ist auch eine Neu-Signierung des DFN-PCA-Zertifikats mit SHA-2 notwendig.

DFN-PCA-Zertifikat vom 11.2.2014

Am 11.2.2014 führte die T-Systems diese Neu-Signierung des DFN-PCA Zertifikats durch, und erzeugte ein neues Zertifikat mit „CN=DFN-Verein PCA Global – G01“, Serienummer 9912441563214940059 bzw. hexadezimal 89:90:11:15:58:3e:87:9b, gültig ab Feb 11 13:11:45 2014 GMT.

In der DFN-PKI wurde dieses DFN-PCA-Zertifikat schrittweise ab Mitte Mai 2014 in den Anwender-CAs zur Verfügung gestellt.

Die Parameter dieses DFN-PCA-Zertifikats sind so gewählt, dass es, mit Ausnahme der Verwendung von SHA-2 für die Erstellung der Signatur, vollständig kompatibel und austauschbar mit dem DFN-PCA-Zertifikat von 2006 ist.

Austausch

Anfang Juli 2014 forderte der Auditor von T-Systems dann leider den Austausch dieses Zertifikats, da bei der Ausstellung von T-Systems eine bestimmte Zertifikaterweiterung (certificatePolicies) nicht aufgenommen wurde.

T-Systems stellte daraufhin am 22.7.2014 ein weiteres, drittes DFN-PCA-Zertifikat aus, in dem die Mängel behoben sind. Auch dieses dritte DFN-PCA-Zertifikat ist kompatibel und austauschbar mit den beiden anderen.

Aktuelle Situation

Drei-PCA-Zertifikate

Anwender-CAs

Es gibt jetzt im Rahmen der Umstellung der DFN-PKI von SHA-1 auf SHA-2 für fast jede Anwender-CA zwei CA-Zertifikate:

  • Ein SHA-1 CA-Zertifikat
  • Ein SHA-2 CA-Zertifikat

Ausgestellte Nutzer- und Serverzertifikate können mit beiden CA-Zertifikaten verifiziert werden,  da die wichtigen Parameter wie verwendete Schlüssel oder Subject-DN identisch sind.

DFN-PCA

Des Weiteren gibt es durch die SHA-2-Umstellung und den erzwungenen Austausch drei DFN-PCA-Zertifikate:

  • Ausstellungsdatum 2006, mit SHA-1 signiert
  • Ausstellungsdatum Februar 2014, nicht zu benutzen
  • Ausstellungsdatum Juli 2014, mit SHA-2 signiert

Siehe hierzu auch: https://www.pki.dfn.de/root/globalroot/

Das DFN-PCA-Zertifikat von Februar 2014 wird in naher Zukunft gesperrt werden, und darf daher nicht mehr verwendet werden.

Die beiden DFN-PCA-Zertifikate von 2006 und von Juli 2014 sind aufgrund identischer Parameter austauschbar.

Pfade

Von ausgestellten Nutzer- und Serverzertifikaten gibt es jetzt mehrere Pfade bis zum Wurzelzertifikat der DFN-PKI „Deutsche Telekom Root CA 2“. Solange dabei das DFN-PCA-Zertifikat von Februar 2014 nicht verwendet wird, sind alle Pfade gültig.

(jbr, 14.08.2014)