Zuletzt aktualisiert: Donnerstag, 28. November 2019 16:31

Fraunhofer DFN-PKI

Aufgrund der Verkettung des Fraunhofer Root CA 2007 Zertifikats mit dem Deutsche Telekom Root CA 2 Zertifikat bestand die Notwendigkeit, dass die Zertifizierungsstellen der Fraunhofer-PKI Version 2 ab dem 01. Juli 2012 die so genannten Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates des CA/Browser-Forums in der jeweils aktuell gültigen Fassung erfüllen. Es handelt sich dabei um zahlreiche Anforderungen an externe Zertifzierungsstellen mit Browser-integrierter Stammzertizierungsstelle, wie es auf die Fraunhofer-PKI Version 2 zutrifft.

 

Die Anforderungen der Baseline Requirements bezogen sich seinerzeit auf Zertifizierungsstellen, die Standard SSL/TLS-Zertifikate sowie sogenannte Extended Validation (EV) SSL/TLS bzw. Code Signing Zertifikate ausstellten.

 

Insbesondere ist es gemäß der Baseline Requirements erforderlich, jährlich ein sehr aufwändiges WebTrust- oder ETSI-konformes Audit durchzuführen. Vor diesem Hintergrund hat Fraunhofer beschlossen, die Fraunhofer Service CA 2007 der Fraunhofer-PKI Version 2 sukzessive stillzulegen. Ab dem 01. Oktober 2012 wurden keine SSL/TLS-Zertifikate für Server mehr von dieser Zertifizierungsstelle ausgestellt und Zertifikate für Services (E-Mail-Dienste), Endgeräte sowie Code-Signung wurden nur bis maximal Ende Februar 2014 ausgestellt.

 

Als Ersatz  hatte das CC-PKI im Sommer 2012 eine neue PKI - die Fraunhofer DFN-PKI - beim DFN-Verein aufgebaut und in Betrieb genommen. Zu dieser PKI gehörte zunächst insbesondere die Fraunhofer Service CA - G01, die ab 2012 sukzessive die Ausstellung von Zertifikaten für Server und Services, Endegeräte und Code Signing übernommen hat.

 

Im Mai 2014 sind weitere Anforderungen an externe Zertifzierungsstellen mit Browser-integrierter Stammzertizierungsstelle seitens Mozilla in Kraft getreten. Zudem bestand die Notwendigkeit, bis Ende 2016 alle Zertifikate, die den SHA-1 Hashalgorithmus verwenden, auszutauschen, um sie weiterhin im Windows-Umfeld verwenden zu können. Um diesen neuen Forderungen Rechnung zu tragen, wurde die Fraunhofer DFN-PKI im Frühjahr 2014 durch eine weitere Zertifizierungsstelle, die Fraunhofer User CA - G01 ergänzt. Diese hat ab Mitte September 2014 die Ausstellung von Zertifikaten für Fraunhofer-Mitarbeitende übernommen, also der Zertifikate für die Smartcards.

 

Sowohl die Fraunhofer Service CA - G01 als auch die Fraunhofer User CA - G01 waren unterhalb der Zertifizierungsstelle DFN-Verein PCA Global - G01 des Deutschen Forschungsnetzes angeordnet, die von der Deutschen Telekom Root CA 2 signiert wurde. Somit war auch für die von der Fraunhofer Service CA - G01 bzw. der Fraunhofer User CA - G01 ausgestellten Zertifikate die automatische Anerkennung im Außenraum sichergestellt.

 

Ab Juli 2016 wurden aus der Fraunhofer DFN-PKI keine weiteren neuen Zertifikate für Fraunhofer-Mitarbeitende bzw. für Server und Services mehr ausgestellt. Da das Deutsche Telekom Root CA 2 Anfang Juli 2019 abgelaufen ist, konnten neu ausgestellte Zertifikate der Fraunhofer User CA – G01 bzw. der Fraunhofer Service CA – G01 ab Juli 2016 nämlich nicht mehr die bisher übliche maximale Laufzeit (drei Jahre bei Smartcards bzw. 38 Monate für Server und Service-Zertifikate) besitzen. Aus diesem Grund wurden ab diesem Zeitpunkt alle neuen Zertifikate nur noch aus der Fraunhofer DFN-PKI 2016 ausgestellt. Mit dem Ablauf des Deutsche Telekom Root CA 2 Zertifikats im Juli 2019 sind alle Zertifikate der Fraunhofer DFN-PKI abgelaufen und ungültig geworden.

 

Zielgruppen waren:

Sicherheitsniveau: hoch

Certificate Policy (CP) und Certification Practice Statement (CPS):

Zertifizierungsstelle(n):

 

In dieser PKI waren die Aufgaben auf mehrere Zertifizierungsstellen (CAs) verteilt (Zertifikate und Sperrlisten).