DFN-Verein Community PKI

Neben der selbstverständlichen Nutzung von Zertifikaten mit Browser- und Betriebssystemverankerung aus GÉANT TCS oder der DFN-PKI "Global" hat auch der Einsatz von PKIs ohne Verankerung seine Berechtigung.

Vorteile:

  • Laufzeit kann länger gewählt werden
  • Geringeres Betriebsrisiko, da keine Zertifikatsperrungen aufgrund externer Zwänge vorkommen können
  • Prozesse können frei definiert werden
  • Zertifikatinhalte können angepasst werden

Natürlich haben diese PKIs auch Nachteile: Das Wurzelzertifikat muss auf jedem System, dass ein derartiges Zertifikat prüfen soll, installiert werden. Neben diesem technischen Aspekt sind nicht verankerte PKIs üblicherweise unauditiert und werden weniger überwacht. Dies kann zusammen mit den freieren Prozessen zu Einschränkungen in der Aussagekraft der Zertifikate führen.

Daher muss vorab geplant werden, in welchen Einsatzszenarien nicht verankerte PKIs sinnvoll eingesetzt werden können. Beispiele sind:

  • Zertifikate für die SAML-Kommunikation in der AAI: https://doku.tid.dfn.de/de:certificates#eigene_lokale_ca
  • Authentisierung zwischen internen Systemen ohne Außenkontakt, z.B. Datenbanksysteme oder 802.1x für internen Netzzugang am LAN.
  • Einsatz für kritische interne Systeme, bei denen die Risiken der öffentlichen PKI vermieden werden sollen

Die DFN-Verein Community PKI ist ein Angebot für eine nicht verankerte PKI. Sie wird vom DFN-Verein betrieben, und bietet ein DFN-übergreifendes Sicherheitsniveau mit einem angemessenen Rahmen in einer Erklärung zum Zertifizierungsbetrieb, dokumentierten Prozessen, und einem gemeinsamen Wurzelzertifikat.

Bei Interesse an der DFN-Verein Community PKI nehmen Sie gerne Kontakt auf: https://www.pki.dfn.de/pkikontakt/