- Last Updated: Monday, 11 September 2023 18:27
Auswirkungn der Verwendung der DFN Community PKI 2022 auf externe Kommunikationspartner
Zusammenfassung (für eilige Leser)
Digitale Unterschriften von einem Teil der Fraunhofer-Belegschaft können seit September 2023 zu Warnhinweisen in E-Mail-Clients oder PDF-Readern führen. Diese Signaturen sind trotz Warnhinweis aber nicht unsicher oder kompromittiert! Sie können lediglich von der Anwendung zunächst nicht als gültig geprüft werden, da in der Regel das DFN-Verein Community Root CA 2022-Zertifikat im Fraunhofer-Außenraum nicht bekannt und nicht als vertrauenswürdig eingestuft ist. Betroffen sind hiervon nur Signaturen mit Zertifikaten aus der Fraunhofer User CA 2022.
Sofern Sie Probleme bei der Prüfung von E-Mail- oder Dokumentsignaturen von Fraunhofer-Mitarbeitenden oder bei der E-Mail-Verschlüsselung an Fraunhofer-Mitarbeitende feststellen, wenden Sie sich bitte an Ihre lokale IT bzw. Ihre Systemadministratoren, damit diese insbesondere das DFN-Verein Community Root CA 2022-Zertifikat einmalig Ihrem System / Ihrer Anwendung hinzufügen und für alle Verwendungszwecke akzeptieren kann. Die benötigten Zertifikate der DFN-Verein Community Root CA 2022 (und der Fraunhofer User CA 2022) erhalten Sie unter CA-Zertifikate Fraunhofer DFN Community PKI 2022.
Ausführliche Erläuterungen
Fraunhofer hat aufgrund neuer zwingend zu erfüllender externer Vorgaben [1] Ende August 2023 (temporär) einen Wechsel der verwendeten Zertifizierungsinstanzen (Certification Authorities – CAs) für neue Zertifikate durchgeführt, die seitens der Fraunhofer-Mitarbeitenden auch für die Kommunikation in den Außenraum der Gesellschaft verwendet werden (vgl. auch Abschnitt „Hintergrund“ weiter unten auf dieser Seite). Daraus ergeben sich einige wichtige Konsequenzen und Änderungen:
Für die Prüfung zertifikatsbasierter E-Mail- oder Dokumentsignaturen oder für die zertifikatsbasierte Verschlüsselung einer E-Mail muss Ihre zugehörige Anwendung (E-Mail-Client wie Microsoft Outlook oder Mozilla Thunderbird, PDF-Reader wie Adobe Acrobat (Reader) usw.) Zugriff auf bestimmte Informationen haben, damit die Operation erfolgreich durchgeführt werden kann. Insbesondere muss der Anwendung die sogenannte Zertifizierungsstelle (CA), die das entsprechende für die Operation benötigte Signatur- oder Verschlüsselungs-Zertifikat ausgestellt hat, bis hin zu einem sogenannten Wurzel-/Stammzertifikat (Root-CA) bekannt und als vertrauenswürdig eingestuft sein. Nur wenn dies der Fall ist, kann Ihr E-Mail-Client oder PDF-Reader also beispielsweise E-Mail- oder Dokumentsignaturen prüfen, die von Fraunhofer-Mitarbeitenden geleistet wurden oder eine E-Mail an Fraunhofer-Mitarbeitende verschlüsseln.
Die bis August 2023 von Fraunhofer-Mitarbeitenden ausschließlich für solche Zwecke verwendeten Zertifizierungsstellen (Fraunhofer User CA – G02, DFN-Verein Certification Authority 2 und T-TeleSec GlobalRoot Class 2) sind in allen E-Mail-Clients, PDF-Readern usw. global bekannt und bereits automatisch als vertrauenswürdig seitens Microsoft, Apple, Mozilla, Acrobat etc. eingestuft. Alle Fraunhofer-Mitarbeitenden, die noch über die alten Zertifikate verfügen, können daher weiterhin Signaturen erzeugen und Verschlüsselung nutzen, die überall automatisch anerkannt sind.
Seit dem o. a. Wechsel der Zertifizierungsstellen gilt dies nun aber nicht mehr für alle Mitarbeitende: Neue Zertifikate für Fraunhofer-Mitarbeitende werden seit September 2023 aus der sogenannten DFN-Verein Community PKI ausgestellt. Diese Public Key Infrastruktur (PKI) wird – wie die bisher verwendete – zwar auch beim DFN-Verein – Verein zur Förderung eines Deutschen Forschungsnetzes e. V. betrieben, besitzt allerdings keine globale Anerkennung und automatische Vertrauensstellung in Betriebssystemen und Anwendungen mehr. Für Fraunhofer-Kommunikationspartner sind aus dieser PKI die DFN-Verein Community Root CA 2022 und die Fraunhofer User CA 2022 relevant, die die neuen Zertifikate für die Fraunhofer-Mitarbeitenden ausstellt.
Da die DFN-Verein Community Root CA 2022 also nicht automatisch in die verschiedenen Betriebssysteme sowie Anwendungen integriert und nicht per se als vertrauenswürdig eingestuft ist, werden die Zertifikate von Fraunhofer-Mitarbeitenden aus der Fraunhofer User CA 2022 bei fehlender Konfiguration der Zertifizierungsstellen zunächst pauschal als ungültig / nicht vertrauenswürdig eingestuft. Dies betrifft sowohl Signatur als auch Verschlüsselung: In Dokumenten und E-Mails werden bei Signaturen entsprechende Warnmeldungen angezeigt. E-Mail-Verschlüsselung an Fraunhofer-Mitarbeitende ist ebenfalls nicht ohne weiteres möglich.
Wichtiger Hinweis: Digitale Unterschriften mit Zertifikaten aus der Fraunhofer User CA 2022 sind jedoch nicht unsicher oder kompromittiert. Sie können lediglich in Ihrer Anwendung zunächst nicht als gültig geprüft werden, da in der Regel das DFN-Verein Community Root CA 2022-Zertifikat nicht bekannt und als vertrauenswürdig eingestuft ist.
Wenden Sie sich bei Problemen mit E-Mail- oder Dokumentsignaturen von Fraunhofer-Mitarbeitenden oder bei der E-Mail-Verschlüsselung an Fraunhofer-Mitarbeitende daher bitte an Ihre lokale IT bzw. Ihre Systemadministratoren, damit diese insbesondere das DFN-Verein Community Root CA 2022-Zertifikat einmalig Ihrem System / Ihrer Anwendung hinzufügen und für alle Verwendungszwecke akzeptieren. Die benötigten Zertifikate der DFN-Verein Community Root CA 2022 (und der Fraunhofer User CA 2022) erhalten Sie
unter CA-Zertifikate Fraunhofer DFN Community PKI 2022.
[1] vgl. S/MIME Baseline Requirements des CA/Browser-Forums mit Gültigkeit vom 01.09.2023