Skip to content.
Sections
You are here: Home » Die RBG / ITI » Neue CA (SSL/TLS Root Zertifikat) als auch neue Zertifikate für viele RBG Webseiten/Dienste

Neue CA (SSL/TLS Root Zertifikat) als auch neue Zertifikate für viele RBG Webseiten/Dienste

Wegen der Ankündigung von Google(Chrome), Mozilla(Firefox, Thunderbird) und Microsoft(IE) in nächster Zeit SSL/TLS Zertifikate oder auch Root Zertifikate mit einer SHA-1 Signatur als nicht mehr sicher anzusehen, müssen wir sowohl unsere selbst-signierten Zertifikate erneuern, als auch ein neues RBG Root Zertifikat erstellen.

Das erste neue Zertifikat wird für www.rz.ifi.lmu.de erstellt werden. Wir werden die entsprechenden Zertifikatsfingerabdrücke dann jeweils hier veröffentlichen.

Warum ist dies nötig?

SHA-1 Signaturen basieren auf der gleich lautenden SHA-1 Hashfunktion. Es wird davon ausgegangen, dass SHA-1 als sichere Hashfunktion theoretisch angreifbar ist und dies in in den nächsten Jahren auch praktisch möglich wird. Da Zertifikate mehrere Jahre gültig sind, muss frühzeitig ein Wechsel auf neue Zertifikate mit sicheren Hashverfahren geschehen. Dies wollen die oben genannten Organisationen und Firmen forcieren.

WICHTIGER HINWEIS

Durch diverse Sicherheitsprobleme mit Zertifikaten oder Clientsoftware muss die RBG nun zum vierten Mal dieses Jahr die Zertifikate austauschen. Probleme dieser Art werden in Zukunft sicher nicht weniger häufig auftreten und auch wird von vielen Experten das bisherige CA System als grundlegend kaputt und nicht reparierbar angesehen.

Wir werden daher den Umzug auf eine komplett andere Zertifikatsarchitektur, die komplett auf CAs verzichtet und einen schnellen unbürokratischen Austausch der Zertifikate erlaubt, der transparent für unsere Nutzer ist beschleunigen. Diese Architektur basiert auf dem DANE Standard. Daher bitten wir unsere Nutzer bei der Auswahl von Clients für unsere Dienste die Nutzungsmöglichkeit von DANE mit einzubeziehen.

Liste der neuen Fingerprints

PEM der neuen RBG CA

conf.cip.ifi.lmu.de: SHA256 Fingerprint=B9:45:14:03:2A:39:96:1B:16:8D:32:05:27:C6:78:87:6E:48:A0:09:E6:20:BE:A7:1F:7E:B4:08:84:01:29:46
beamsrv.rz.ifi.lmu.de: SHA256 Fingerprint=88:A9:8B:12:B0:B8:70:9A:55:C0:9B:BE:67:FE:3F:9B:FD:A7:20:A3:2F:C4:B9:09:F6:AC:E9:85:D6:93:5D:72
lists.ifi.lmu.de: SHA256 Fingerprint=D0:8D:52:0D:1B:C4:94:76:43:4C:0D:EA:B6:77:B9:02:0E:B0:C9:50:06:9F:54:1F:B6:6D:00:0F:90:36:45:06
gitlab.cip.ifi.lmu.de: SHA256 Fingerprint=4E:05:1A:CE:31:63:BA:70:46:4F:2F:38:5E:AC:56:2A:FB:0A:2B:00:7D:30:7A:C5:D5:87:71:76:0E:21:15:D0
mailarchiv.ifi.lmu.de: SHA256 Fingerprint=25:CD:24:D9:57:43:A6:78:0D:4B:44:C0:F6:1C:2C:F1:CD:36:A0:64:C9:52:F6:16:62:CD:4D:E4:12:59:F5:21
webmail2.cip.ifi.lmu.de: SHA256 Fingerprint=A2:B4:E4:41:1A:07:3C:23:AA:53:BC:31:2F:44:A1:0A:13:47:31:62:AB:30:53:E8:51:80:50:60:EE:47:82:B9
webmail2.ifi.lmu.de: SHA256 Fingerprint=46:B2:3B:1D:AA:91:70:10:57:04:BF:30:3A:DE:76:54:A5:44:BB:9C:55:F3:BF:1E:D4:9C:55:D8:61:F0:67:21
www.cip.ifi.lmu.de: SHA256 Fingerprint=8B:48:CE:DF:4E:65:DD:CF:84:41:4C:9C:F7:3A:61:C6:14:95:B6:9B:2D:85:E7:89:97:FD:4A:C7:17:80:09:90
cgi.cip.ifi.lmu.de: SHA256 Fingerprint=8B:48:CE:DF:4E:65:DD:CF:84:41:4C:9C:F7:3A:61:C6:14:95:B6:9B:2D:85:E7:89:97:FD:4A:C7:17:80:09:90
php.cip.ifi.lmu.de: SHA256 Fingerprint=8B:48:CE:DF:4E:65:DD:CF:84:41:4C:9C:F7:3A:61:C6:14:95:B6:9B:2D:85:E7:89:97:FD:4A:C7:17:80:09:90