Dieser Artikel betrifft alle IT-Mitarbeiter der Universit?t. Er wird fortlaufend aktualisiert.
Wie einige von euch sicher schon gerüchteweise erfahren haben, ist es zu
Verwerfungen zwischen dem Dachverband der europ?ischen Wissenschaftsnetzwerke
(G?ANT) und dem von diesem kontraktierten Zertifikatsanbieter Sectigo gekommen.
?ber diesen Vertrag beziehen auch die Mitgliedseinrichtungen des Deutschen
Forschungsnetzes (DFN) und damit auch die Universit?t Bremen ihre Zertifikate.
Soweit bisher bekannt, hat Sectigo ohne jede Ankündigung die Ausstellung von
Zertifikaten für Institutionen verweigert, von denen Sectigo aus unklaren Gründen
annimmt, dass sie nicht berechtigt sind, im Rahmen des G?ANT-Vertrags Zertifikate
zu beziehen. Bis heute gibt es keine Liste, welche Institutionen/Domains betroffen
sind und es f?llt erst auf, wenn die Ausstellung eines entsprechenden Zertifikats
mit einer obskuren Fehlermeldung verweigert wird.
Die Situation ist in den letzten Wochen eskaliert und nun hat Sectigo den Vertrag
mit dem G?ANT zum 10.01.2025 vorzeitig gekündigt.
G?ANT prüft rechtliche Schritte dagegen. Es ist aber davon auszugehen, dass ab
10.01. keine Zertifikate 澳门皇冠_皇冠足球比分-劲爆体育 über Sectigo bezogen werden k?nnen. GEANT versucht,
zeitnah einen Vertrag mit einem alternativen Zertifikatsanbieter abzuschlie?en. Es
besteht aber eine signifikante Wahrscheinlichkeit, dass das nicht bis zum 10.01.
gelingt. Das Vertragsvolumen ist betr?chtlich, die Vertragsgestaltung komplex,
und viele von uns werden schon einmal Kontakt mit Ausschreibungen auf europ?ischer
Ebene gemacht haben und wissen, was das - auch im Rahmen einer Notvergabe - für
einen Aufwand bedeutet.
Was bedeutet das nun konkret:
a) Wir empfehlen euch (!)dringend(!) alle eure Server-Zertifikate noch vor
Weihnachten au?erplanm??ig zu erneuern. Diese neu erstellten Zertifikate werden
ein Jahr Laufzeit haben, was für bestehende Services einen zeitlichen Puffer bis
Ende kommenden Jahres bringt. Für pers?nliche Zertifikate gilt ebenso, dass es
aus unserer Sicht sinnvoll ist, das pers?nliche Zertifikat au?erplanm??ig zu
erneuern.
b) Neue Zertifikate k?nnen ab 10.01. nicht 澳门皇冠_皇冠足球比分-劲爆体育 über Sectigo bezogen werden. Ob und
wie die Ausstellung neuer Zertifikate übergangsweise und dauerhaft realisiert
werden wird, k?nnen wir aktuell noch nicht sagen - das h?ngt davon ab, wie
schnell ein neuer Anbieter gefunden wird und wie aufw?ndig die Anpassung unserer
In-House-Tools an eine neue API wird.
Die Verantwortlichen beim DFN sind optimistisch, dass bis zum 10.01. ein neuer
Anbieter kontraktiert werden kann. Unklar ist allerdings, wie zügig die
Einrichtung/Migration/Validierung der teilnehmenden Einrichtungen (das sind
europaweit ca. 8000) passieren kann.
c) Let's Encrypt kann eine M?glichkeit sein, eine ?bergangszeit zu überbrücken.
Wir werden zeitnah anschauen, inwieweit wir unsere zentralen Werkzeuge darauf
umstellen k?nnen oder welche anderen Hilfestellungen zur Nutzung wir euch an
die Hand geben k?nnen.
Let's Encrypt ist aber nicht die L?sung für alle Probleme. Die Challenges sind
sind nicht in allen F?llen einfach umzusetzen - nicht jeder Dienst ist ein
Webserver im Internet. Zudem gibt es Beschr?nkungen bzgl. der Menge der
Zertifikate, die pro Domain erstellt werden k?nnen.
Wir werden euch natürlich weiter über die Situation auf dem Laufenden halten.
Das DFN stellt eine kontinuierlich aktualisierte FAQ zur Verfügung:
https://doku.tid.dfn.de/de:dfnpki:tcsfaq:aktuellesituation
Obwohl Probleme mit dem Anbieter Sectigo seit langem bekannt sind, wurden wir, wie
alle europ?ischen Wissenschaftseinrichtungen, von der Entwicklung - insbesondere
der kurzfristigen Vertragskündigung - v?llig überrascht. Vermutlich werden wir
alle für eine gewisse ?bergangszeit viel improvisieren müssen. Wir werden euch so
gut wie m?glich unterstützen, um einen reibungslosen Betrieb der zentralen und
dezentralen Services sicherzustellen.