Trusted Certificate Service (TCS)

Als Teilnehmer von ACOnet haben wir die Möglichkeit Zertifikate (Server, Code-Signing und E-Mail) gratis zu beziehen.
Grundsätzlich basiert das Service auf einem Vertrag zwischen Sectigo Ltd. (Roseland, NJ, USA) und GÉANT (früher TERENA), dem Verband europäischer Wissenschaftsnetze (den sog. NRENs), den auch ACOnet (der Betreiber des österreichischen Wissenschaftsnetzes und somit Provider der TU Graz) unterzeichnet hat.
Bestehende Zertifikate von DigiCert bleiben bis zum Ablauf weiter gültig, wenn Sie aber neue Zertifikate einspielen, müssen Sie auch das entsprechende Zertifikat von Sectigo und das dazugehörende Intermediate-Zertifikat von GÉANT einspielen!

Dabei gilt:

  • Für Zertifikate, die auf diesem Weg ausgestellt werden, fallen für den Endbenutzer keine Kosten an.
    Für die TU Graz, als ACOnet-Teilnehmer, gilt dies für alle Server in der Domain tugraz.at; weiters verwalten wir Zertifikate für Server im VCG.
  • Weitere Domains wären prinzipiell möglich, aber nur, wenn wir die Domain auch verwalten (was wir i. Allg. aber nicht machen).
  • Die Zertifikate dürfen nicht für kommerzielle Zwecke genutzt werden (z. B. für ein Webshop o. ä.)
  • Die Zertifikate dürfen zwar für Finanztransaktionen (z. B. Übermittlung von Kreditkartendaten bei Tagungsanmeldungen) verwendet werden - beachten Sie aber, dass diese Daten danach auch sicher verarbeitet und verschlüsselt gespeichert werden müssen, Sie haften sonst im Falle eines Datenlecks eventuell für Schäden!
    Wir raten daher dringend davon ab ohne professionelle Verarbeitungssoftware Kreditkartendaten abzufragen und zu verarbeiten!
  • Vertragspartner ist immer die TU Graz, Institute müssen die ACOnet-Zusatzvereinbarung also nicht unterzeichnen!

Bis auf E-Mail-Zertifikate werden alle Zertifikate nur auf Antrag von EDV-Beauftragten ausgestellt, für OV-Multidomain-SSL-Zertifikate für Institute steht dafür ein Webinterface zur Verfügung.

Anmerkung

Die Verschlüsselung (z. B. HTTPS) sagt nichts über die Sicherheit der Daten an sich aus und auch nichts darüber, was z. B. der Empfänger mit den Daten tun wird (unverschlüsselt speichern, veröffentlichen, verkaufen, …), sondern nur etwas darüber, wie die Daten vom Client (z. B. Ihrem Browser) zum Server (z. B. einer Bank-Webseite) übertragen werden.

Und auch bei HTTPS gibt es unterschiedliche Sicherheitsniveaus, die Sie sich anschauen sollten.

Das bedeutet aber, dass es eine ganze Reihe von Angriffspunkten gibt:

  • Das Schlosssymbol sagt nichts aus - das Zertifikat kann wirklich gültig sein - überprüfen Sie die Domain (z. B. tugraz.al statt tugraz.at oder tugrÉ‘z.at statt tugraz.at) und auf wen das Zertifikat ausgestellt ist!
  • Die Daten können auf Ihrem Rechner (z. B. im Browser oder im Betriebssystem) schon vor der Übertragung manipuliert werden, wenn Sie sich Malware eingefangen haben:
    Wenn Ihr Browser oder Ihre Grafikkarte Ihnen ein anderes Konto anzeigt, als dann tatsächlich übermittelt wird, können Sie das kaum überprüfen.
  • Die Übertragung findet vielleicht gar nicht zum richtigen Server statt:
    Der Nameserver, den Sie verwenden, wurde manipuliert und Sie verbinden sich daher gar nicht zum richtigen Server mybank.at, dieser Server hat aber selbst auch ein (scheinbar) gültiges Zertifikat (weil z. B. die CA kompromittiert wurde).
  • Die eingesetzte Verschlüsselung könnte bereits geknackt sein: Überprüfen Sie, ob Ihr Programm nur sichere oder auch unsichere Methoden unterstützt.
  • Die Daten können nach der Übertragung manipuliert werden:
    Der Server der Bank wurde „gehackt“ und Ihre Daten werden manipuliert oder …

SSL- bzw. TLS-Server-Zertifikate

SSL- bzw. TLS-Server-Zertifikate werden u. a. zur Verschlüsselung der Kommunikation mit Webservern (https statt http) benötigt.
Neben einfachen Zertifikaten für einzelne Server gibt es auch Multi-Domain-Zertifikate (ein Zertifikat für mehrere virtuelle Server auf einer gemeinsamen Hardware), aber auch Wildcard-Zertifikte (in der Art *.institut.tugraz.at).

Aufgrund von Vorgaben durch das CA/B-Forum (ein Verband von Browser-Herstellern) gibt es 3 Arten von Server-Zertifikaten:

  1. DV-Zertifikate
  2. OV-Zertifikate
  3. EV-Zertifikate

Da EV-Zertifikate in der Browserdarstellung keinen Vorteil mehr gegenüber OV-Zertifikaten bieten, aber deutlich mehr Aufwand bei der Registrierung erfordern, werden von uns nur mehr OV-Zertifikate unterstützt.

Seit 2022 gibt es keine OU-Einträge mehr, d. h., dass nur mehr die Organisation (Technische Universität Graz), aber keine Institute mehr im Zertifikat angeführt werden. Auch der Ort (Graz) fällt weg, das Bundesland (Steiermark) ist noch möglich.

Bestellung

Die Bestellung der Zertifikate führen EDV-Beauftragte über https://ssl.tugraz.at/ durch, der dort angegebene Link darf nicht weiter gegeben werden, da die Anträge automatisch validiert werden.

Unser neuer Anbieter unterstützt auch das (von Let's Encrypt bekannte) ACME-Protokoll, wenn Sie das mit Certbot nutzen möchten, wenden Sie sich bitte an die TCS-Administratoren.

Bei Problemen

Falls Browser das Root-Zertifikat nicht kennen, kann man es von der GÉANT-Homepage herunterladen und im Client installieren - wenn am Server die „Certificate-Chain“ (Server- und Intermediate- bzw. Root-Zertifikat) stimmt, dann sollte das Server-Zertifikat dann vom Client (dem Browser bzw. dem E-Mail-Programm etc.) akzeptiert werden.

Smartphones

Falls Ihr Smartphone dem Root-Zertifikat nicht vertraut, können Sie dieses Zertifikat installieren, indem Sie von Ihrem Mobiltelefon aus ebenfalls die GÉANT-Seite mit den Root-Zertifikaten öffnen und von dort das Root-Zertifikat herunter laden. Je nach Betriebssystem des Mobiltelefons müssen Sie dann das Zertifikat noch von der SD-Karte installieren (und z. B. einem WLAN-Profil zuweisen).

top

Code Signing-Zertifikate

Code-Signing-Zertifikate gibt es nur mehr für HSM.

top

E-Mail-Zertifikate

Man kann als ausgewiesener Angehöriger der TU Graz (Personen mit Dienst-/Rechtsverhältnis bzw. Studierende) gratis persönliche E-Mail-Zertifikate über das TCS beantragen, um E-Mails per S/MIME signieren oder auch verschlüsseln zu können. Verfügbar sind diese Zertifikate allerdings nur für ausgewiesene Personen der TU Graz.
Weiters dürfen wir (durch den Vertrag geregelt) Zertifikate nur für E-Mail-Adressen ausgeben, für die wir zentral die Zuordnung E-Mail-Adresse ⇆ Person garantieren können, das trifft nur für Adressen auf den beiden zentralen E-Mail-Servern der TU Graz zu.
Falls sowohl eine Studierenden- als auch eine Bedienstetenadresse im System hinterlegt sind, dann kann (derzeit) nur für die Bedienstetenadresse ein Zertifikat beantragt werden.

top