Version 3.5 der Zertifizierungsrichtlinie DFN-PKI Global

Zum 26.04.2016 tritt die Version 3.5 der Zertifizierungsrichtlinie  (CP) der DFN-PKI für das Sicherheitsniveau Global in Kraft. Das Dokument finden Sie unter: https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.5.pdf

Mit Änderungsmarkierungen:  https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.5-diff.pdf

Diese Version 3.5 bereitet die nächste Generation der DFN-PKI vor, die bereits in den Startlöchern steht.

Wurzelzertifikate

Als größte Neuerung ist im neuen CP in Kapitel 1.3.1 der Nachfolger des aktuellen Wurzelzertifikats beschrieben. Zur Zeit wird in der DFN-PKI die „Deutsche Telekom Root CA 2“ verwendet, die am 9. Juli 2019 abläuft. Die nächste Generation der DFN-PKI wird mit dem Wurzelzertifikat „T-TeleSec GlobalRoot Class 2“ in den Betriebssystemen und Browsern verankert sein.

Die DFN-PKI hat von T-Systems bereits ein neues DFN-PCA-Zertifikat unter dieser neuen Wurzel ausgestellt bekommen, mit Gültigkeit bis zum 22. Februar 2031. Der Name des neuen DFN-PCA-Zertifikats ist:

C=DE, O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., OU=DFN-PKI, CN=DFN-Verein Certification Authority 2

Weitere Informationen zur Zertifizierungskette der nächsten Generation der DFN-PKI finden Sie unter: https://www.pki.dfn.de/root/global-generation-2/

Die DFN-PCA wird mit Inkrafttreten des neuen CP 3.5 beginnen, die Zertifizierungshierarchie neu aufzubauen und den Teilnehmern Zugänge zur neuen Generation der DFN-PKI zur Verfügung zu stellen.

Gültigkeitsdauer Nutzerzertifikate

Des Weiteren gibt es eine Änderung bei der Laufzeit für Nutzerzertifikate (Kapitel 6.3.2).

Insbesondere Anwender, die Chipkarten ausgeben, haben den Wunsch nach einer längeren Gültigkeit von Nutzerzertifikaten geäußert. Grund hierfür ist, die Hardware möglichst lange nutzen zu können und den Enrollment-Prozess so selten wie möglich durchführen zu müssen. Nach Gesprächen mit T-Systems als Inhaber der Wurzelzertifikate und TÜViT als Auditor können wir jetzt die Laufzeit für Nutzerzertifikate in der DFN-PKI auf 5 Jahre verlängern.

Für Serverzertifikate muss es bei den schon bisher festgeschriebenen 39 Monaten Laufzeit bleiben, da die Richtlinien des CA/Browserforums keine längere Nutzungsdauer erlauben.

Die neue, längere Laufzeit für Nutzerzertifikate steht erst zur Verfügung, wenn die nächste Generation der DFN-PKI in Betrieb ist, da die jetzige Generation in der Laufzeit bis Mitte 2019 beschränkt ist.

Wir empfehlen, die längere Laufzeit nur für Nutzerzertifikate auf Chipkarten im Zusammenhang mit gut funktionierenden, automatisierten Identity-Managementprozessen einzusetzen, da ansonsten die Gefahr besteht, dass zu viele eigentlich veraltete Zertifikate nicht gesperrt werden und die Verlässlichkeit der PKI für den Teilnehmer leidet.

Abschaffung von Sonderregelungen für Zertifikate mit internen Domainnamen, Hostnamen und reservierten IP-Adressen

Die in früheren Zertifizierungsrichtlinien vorhandenen Sonderregelungen für Zertifikate mit internen Domainnamen, Hostnamen und reservierten IP-Adressen sind nach Ablauf von Übergangsfristen des CA/Browserforums aus Kapitel 3.1.2 und Kapitel 6.3.2 entfernt worden. Weitere Informationen hierzu: https://blog.pki.dfn.de/2015/02/interne-domainnamen/

(jbr, 11.04.2016)