Terena Certificate Service
Neue SSL-Zertifikate für Domains der Universität Wien

von Ulrich Kiermayr (Ausgabe 09/2, Oktober 2009)

 

Was ist SSL?

Bei SSL (Secure Sockets Layer) handelt es sich um ein Verschlüsselungsprotokoll zur Datenübertragung im Internet. Warum ist dieses so wichtig? Antworten darauf finden Sie im comment-Artikel SSL-Zertifikate – Ein “Reisepass” für Webseiten, Ausgabe 06/2, Seite 42 oder unter http://comment.univie.ac.at/06-2/42/.

 

Im Jahr 2005 wurde von acht europäischen Wissenschafts­netzen ein Projekt gestartet, um für die Teilnehmer möglichst günstig SSL-Zertifikate zur Verfügung stellen zu können. Nach einer Aus­schreibung wurde schließlich An­fang 2006 mit der belgischen Firma Globalsign (Öffnet einen externen Link in einem neuen Fensterwww.globalsign.com) der Vertrag über das Server Certificate Service (SCS) unterzeichnet. Seither stehen allen ACOnet-Teilnehmern – also auch der Universität Wien – kosten­los SSL-Zerti­fi­ka­te zur Verfügung, die in allen wesentlichen Browsern als ver­trau­enswürdig eingestuft werden. Im Rahmen des Ser­vices wur­den in den letzten drei Jahren über 1700 Zertifi­kate ausgestellt.

Nachdem ein solches Projekt für alle Beteiligten komplettes Neuland war, haben alle eine ganze Menge gelernt. Daher war es nur logisch, im Hinblick auf den im Jänner 2010 auslaufenden Vertrag mit Globalsign über eine Neugestaltung nachzudenken. Das war auch schon deshalb notwendig, weil die Zahl der Teilnehmer von den anfänglichen acht Wissenschaftsnetzen auf 20 angewachsen war, wodurch sich auch der finanzielle und organisatorische Handlungs­spiel­raum vergrößert hat.

Im Herbst 2008 wurde schließlich durch die TERENA (Dachverband der europäischen Wissenschaftsnetze) eine neue Ausschreibung für das Service publiziert. Ziele dabei waren unter anderem eine Vereinfachung der Verwaltungs­abläufe, eine Vergrößerung des Serviceangebots und eine Verbesserung der Zuverlässigkeit des Services. Nach den Bieterverhandlungen wurde schließlich im Frühjahr 2009 die Firma Comodo (Öffnet einen externen Link in einem neuen Fensterwww.comodo.com) als neuer Anbieter für SSL-Zertifiate auserkoren. Nachdem Comodo schon seit Jahren ein Service für Reseller von SSL-Zertifikaten anbietet, ist dieser Bereich für diesen Anbieter auch kein Neuland.

Was ist neu?

Neben den bereits bekannten SSL-Zertifikaten für Server umfasst der Vertrag auch die Bereitstellung von Code Signing-Zertifikaten und E-Mail Signing-Zertifikaten. Außerdem ist es nun möglich, die gesamte Verwaltung durch das Reselling-System von Comodo fast vollständig zu automatisieren. Dadurch werden Fehler vermieden und die Ausstellung neuer Zertifikate wird erheblich beschleunigt. Nicht zuletzt, um den neuen Services auch einen Namen zu geben, wurde SCS durch Terena Certificate Service (TCS) abgelöst.

Code Signing und E-Mail Signing

Nachdem es bei der Inbetriebnahme wichtig war, zuerst das bestehende Service SSL-Zertifikate auf neue Beine zu stellen, wurden die neuen Services Code Signing und E-Mail Signing nicht sofort implementiert. Ein genauer Zeitpunkt für den Start dieser Services steht noch nicht fest.

Zertifikate beantragen

Für BenutzerInnen ändert sich durch das neue Service relativ wenig: Jeder an der Universität Wien kann weiter­hin für seine Server SSL-Zertifikate beantragen.

  • Die Zertifikate werden nur für Domains ausgestellt, deren Inhaber die Universität Wien ist. Bei Domains, die auf UniversitätsmitarbeiterInnen bzw. Studierende persönlich registriert sind, kann dieses Service nicht genutzt werden.
  • Die Weitergabe der Zertifikate an Dritte sowie ihre Verwendung für kommerzielle Zwecke, insbesondere das Absichern von Finanztransaktionen, ist nicht erlaubt.
  • Die Nutzung der Zertifikate ist weiterhin kostenlos.

Infos: Öffnet einen externen Link in einem neuen Fensterwww.univie.ac.at/ZID/ssl-zertifikate/


Was passiert mit den alten Zertifikaten?

Spätestens drei Monate nach Ablauf des Vertrages mit Globalsign verlieren auch die Zertifikate, die im Rahmen des SCS-Projekts ausgestellt wurden, ihre Gültigkeit. Daher müssen diese Zertifikate bis spätestens Ende März 2010 durch TCS-Zertifikate ersetzt werden. Dazu muss einfach ein neues Zertifikat beantragt und installiert werden.

Fazit

Das Terena Certificate Service bietet allen Server-Be­trei­bern an der Universität Wien die Möglichkeit, kostenlos an Zertifikate zu kommen, die von allen namhaften Browsern als vertrauenswürdig eingestuft werden und keine Fehlermeldungen erzeugen (Pop-up-free). Damit steht einem Einsatz von SSL eigentlich nichts im Wege.