In Umstellung der DFN-PKI (Sicherheitsniveau Global) auf SHA-2 hatten wir beschrieben, wie der Hash-Algorithmus der DFN-PKI vom veralteten SHA-1 auf SHA-2 vorgenommen wird.
Für diese Umstellung ist auch eine Neu-Signierung des DFN-PCA-Zertifikats mit SHA-2 notwendig.
DFN-PCA-Zertifikat vom 11.2.2014
Am 11.2.2014 führte die T-Systems diese Neu-Signierung des DFN-PCA Zertifikats durch, und erzeugte ein neues Zertifikat mit „CN=DFN-Verein PCA Global – G01“, Serienummer 9912441563214940059 bzw. hexadezimal 89:90:11:15:58:3e:87:9b, gültig ab Feb 11 13:11:45 2014 GMT.
In der DFN-PKI wurde dieses DFN-PCA-Zertifikat schrittweise ab Mitte Mai 2014 in den Anwender-CAs zur Verfügung gestellt.
Die Parameter dieses DFN-PCA-Zertifikats sind so gewählt, dass es, mit Ausnahme der Verwendung von SHA-2 für die Erstellung der Signatur, vollständig kompatibel und austauschbar mit dem DFN-PCA-Zertifikat von 2006 ist.
Austausch
Anfang Juli 2014 forderte der Auditor von T-Systems dann leider den Austausch dieses Zertifikats, da bei der Ausstellung von T-Systems eine bestimmte Zertifikaterweiterung (certificatePolicies) nicht aufgenommen wurde.
T-Systems stellte daraufhin am 22.7.2014 ein weiteres, drittes DFN-PCA-Zertifikat aus, in dem die Mängel behoben sind. Auch dieses dritte DFN-PCA-Zertifikat ist kompatibel und austauschbar mit den beiden anderen.
Aktuelle Situation
Anwender-CAs
Es gibt jetzt im Rahmen der Umstellung der DFN-PKI von SHA-1 auf SHA-2 für fast jede Anwender-CA zwei CA-Zertifikate:
- Ein SHA-1 CA-Zertifikat
- Ein SHA-2 CA-Zertifikat
Ausgestellte Nutzer- und Serverzertifikate können mit beiden CA-Zertifikaten verifiziert werden, da die wichtigen Parameter wie verwendete Schlüssel oder Subject-DN identisch sind.
DFN-PCA
Des Weiteren gibt es durch die SHA-2-Umstellung und den erzwungenen Austausch drei DFN-PCA-Zertifikate:
- Ausstellungsdatum 2006, mit SHA-1 signiert
- Ausstellungsdatum Februar 2014, nicht zu benutzen
- Ausstellungsdatum Juli 2014, mit SHA-2 signiert
Siehe hierzu auch: https://www.pki.dfn.de/root/globalroot/
Das DFN-PCA-Zertifikat von Februar 2014 wird in naher Zukunft gesperrt werden, und darf daher nicht mehr verwendet werden.
Die beiden DFN-PCA-Zertifikate von 2006 und von Juli 2014 sind aufgrund identischer Parameter austauschbar.
Pfade
Von ausgestellten Nutzer- und Serverzertifikaten gibt es jetzt mehrere Pfade bis zum Wurzelzertifikat der DFN-PKI „Deutsche Telekom Root CA 2“. Solange dabei das DFN-PCA-Zertifikat von Februar 2014 nicht verwendet wird, sind alle Pfade gültig.
(jbr, 14.08.2014)