Zu Hauptinhalt springen
Gewählte Sprache ist Deutsch Select language
Startseite UR

Zertifizierungsstellen für Serverzertifikate auf die DFN-PKI beschränkt

Seit Anfang Sept. 2017 sind alle Zertifizierungsstellen (Certificate Authorities oder CAs) vor der Ausstellung eines Serverzertifikats für eine Domain verpflichtet, eventuelle CAA Einträge in den Nameservern für diese Domain zu prüfen, die festlegen, welche CAs für die Ausstellung entsprechender Zertifikate berechtigt sind.  Da Zertifikate Ausweise darstellen, die Nutzern die Sicherheit geben sollen, dass der entsprechende Server wirklich der ist, der er vorgibt zu sein, muss die Ausstellung eines Zertifikats gewissen Regeln und Ansprüchen genügen: Es ist zu verifizieren, ob der Server wirklich zu der Einrichtung gehört, der die Domäne zugeordnet ist, ob der Antragsteller berechtigt ist, ein solches Zertifikat zu beantragen, ob der Antragsteller die notwendigen Maßnahmen zum Umgang mit privaten Schlüsseln kennt und ob der betreffende Server auch zugangsgeschützt ist. Von einer nicht kontrollierbaren Vergabe von Zertifikaten von beliebigen CAs an beliebige Antragsteller ohne solche Prüfungen ist aus Sicherheitsgründen dringend abzuraten. Mit Hilfe der CAA Records ist eine Kontrolle ab sofort möglich. Daher hat das RZ die DFN-PKI als einzig berechtigte CA für die Ausstellung von Serverzertifikaten für die Domäne uni-regensburg.de und ihre Derivate eingetragen. Wir bitten daher alle Nutzer, die ein Serverzertifikat beantragen wollen, dies über die DFN-PKI zu tun. Alle Informationen dazu finden Sie unter pki.uni-regensburg.de.

  1. Universität