Wofür werden Serverzertifikate verwendet?

Serverzertifikate werden eingesetzt, um eine sichere Verbindung zwischen Server und PC zu ermöglichen, wenn z. B. sensible Daten über ein öffentliches Netz übertragen werden sollen. Das bekannteste Beispiel ist der Webserver. Sichere Verbindungen beginnen mit einem https und werden bei den Browsern in der Adresszeile besonders hervorgehoben.

Wichtige Informationen

!Bitte beachten! Wichtige Mitteilung der IT-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in Richtlinie TR-02102-2 (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2.html) nachdrücklich die Verwendung von SSL/TLS-Zertifikaten mit einer Schlüssellänge von mindestens 3072 Bit (höchstens jedoch 4096 Bit). Eine größere Schlüssellänge bietet ein höheres Maß an Sicherheit vor kryptographischen Angriffen.

Bitte prüfen Sie daher, ob Ihre derzeitigen SSL/TLS-Zertifikate (Serverzertifikate) eine ausreichend große Schlüssellänge aufweisen. Falls Sie Serverzertifikate mit kleinerer Schlüssellänge bisher verwenden, empfehlen wir die zeitnahe Migration zu Serverzertifikaten mit einer Schlüssellänge von mindestens 3072 Bit.

Bitte beachten Sie, dass hierbei auch der private Schlüssel ersetzt werden muss. Das Skript (certificateapplication.sh) auf login.uni-hohenheim.de wurde inzwischen auf eine Schlüssellänge von 4096 Bit angepasst.

Wichtige Änderung: Drastische Verkürzung der SSL/TLS-Zertifikatslaufzeiten ab 2026

Für Systembetreuer und Serververantwortliche

Das Wichtigste in Kürze

Das CA/Browser Forum hat im April 2025 mit dem Ballot SC-081v3 beschlossen, die maximale Gültigkeitsdauer von öffentlichen SSL/TLS-Serverzertifikaten schrittweise drastisch zu verkürzen. Dies hat erhebliche Auswirkungen auf die Verwaltung aller Server mit öffentlichen TLS-Zertifikaten und erfordert eine frühzeitige Vorbereitung.

Zeitplan der Änderungen

Aktuell: Maximale Laufzeit 398 Tage (ca. 13 Monate)
Zertifikate ausgestellt ab 15. März 2026: Maximale Laufzeit 200 Tage
Zertifikate ausgestellt ab 15. März 2027: Maximale Laufzeit 100 Tage
Zertifikate ausgestellt ab 15. März 2029: Maximale Laufzeit 47 Tage

(Quelle: TLS Baseline Requirements, Abschnitt 6.3.2)

Wichtig: Die Einschränkungen gelten nur für neu ausgestellte Zertifikate ab dem jeweiligen Datum. Bereits ausgestellte Zertifikate bleiben bis zu ihrem ursprünglichen Ablaufdatum gültig.

Was bedeutet das für Sie?

Häufigere Zertifikatserneuerungen: Ab 2029 müssten SSL-Zertifikate bis zu 8-mal pro Jahr erneuert werden
Manuelle Prozesse unpraktikabel: Die bisherige manuelle Beantragung und Installation wird bei 47-Tage-Zertifikaten unpraktikabel
Automatisierung wird unausweichlich: ACME-Protokoll (z.B. Certbot für Linux, WinACME für Windows) einsetzen

Warum diese Änderung?

Die Verkürzung dient der Erhöhung der Sicherheit:

Reduzierung des Zeitfensters für kompromittierte Zertifikate
Aktuelle und validierte Domäneninformationen
Schnellerer Austausch unsicherer kryptografischer Algorithmen

Handlungsempfehlungen

Inventarisierung: Erfassen Sie alle SSL-Zertifikate in Ihrer Verantwortung, um den Umstellungsaufwand abzuschätzen und zu vermeiden, dass kritische Systeme übersehen werden
Automatisierung prüfen: Evaluieren Sie, welche Ihrer Server bereits automatisierte Erneuerungsprozesse nutzen. Stellen Sie möglichst zeitnah auf ACME-Automatisierung um.
Planung: Planen Sie die Migration auf automatisierte Systeme bis spätestens zu Ihrem nächsten Zertifikatswechsel

Betroffene Zertifikate

Betroffen: Alle öffentlich vertrauenswürdigen TLS/SSL-Serverzertifikate, unabhängig vom verwendeten Dienst (Webserver, Mailserver, Datenbanken, APIs, etc.)
Nicht betroffen: Nutzerzertifikate (bleiben bei 2 Jahren Laufzeit)

Unterstützung durch das KIM-PKI-Team

Das KIM-PKI-Team hat bereits ACME für die automatisierte Zertifikatsverwaltung implementiert. Die Lösung ist getestet und voll funktionsfähig.

Bei Fragen oder Unterstützungsbedarf wenden Sie sich bitte an:

KIM-PKI-Team
E-Mail: kim-pki@uni-hohenheim.de

Allgemein

Kann ich mein Serverzertifikat widerrufen?

Ja! Loggen Sie sich mit Ihrem Hohenheimer Benutzerkonto unter cm.harica.gr (Academic Login) ein. Wählen Sie im Menü "Server" und wählen Sie das zu sperrende Zertifikat aus (drei übereinander stehende Punkte). Wählen Sie "Revoke".

In welchen Formaten kann ich mein Serverzertifikat herunterladen?

Folgende Formate werden beim Download angeboten:

PEM - Typisches Textformat

DER - Typisches Binärformat

DER CA - Typisches Binärformat des Zertifikats der ausstellenden Behörde

PKCS7 (chain) - Typisches Textformat einschließlich aller Zertifikatsketten

PEM bundle - Typisches Textformat einschließlich der gesamten Zertifikatskette und dem Gegenzertifikat

Wie lange ist mein SSL-Zertifikat gültig?

Die Gültigkeit beträgt 365 Tage (1 Jahr).

Bekomme ich eine Erinnerung über den Ablauf meines Zertifikats?

Ja! Die erste Erinnerung bekommen Sie 15 Tage, die zweite 5 Tage und die dritte und letzte Erinnerung 1 Tag vor Ablauf Ihres Zertifikats.

Wo finde ich den privaten Schlüssel zu meinem Zertifikat?

Bei der Erstellung des CSR über unser Script certificateapplication.sh (wie in unserer Anleitung "Erstellung CSR und Beantragung Serverzertifikat" beschrieben), wird der Private Schlüssel üblicherweise in Ihrem Homeverzeichnis (CIFS) /home/[Anfangsbuchstabe des Benutzernamens]/[Benutzername]/[angegebener FQDN des Servers]/ gespeichert.
Sollten Sie das o.g. Script nicht verwendet haben und Ihren CSR und privaten Schlüssel selbst erzeugt haben, finden Sie den privaten Schlüssel in Ihrem selbst angegebenen Verzeichnis.

ACME

Was ist ACME und wofür wird es benötigt?

ACME (Automated Certificate Management Environment) ist lediglich ein Protokoll. Mit diesem Protokoll können Sie den Zertifikatsbezug, die Verlängerung und auch die Sperrung von Zertifikaten automatisieren. ACME wird im professionellen Umfeld empfohlen! Aufgrund der immer weiter sinkenden Laufzeit von SSL-Serverzertifikaten ist dies unerlässlich.

Ist ACME derzeit verfügbar und wie kann ich einen Account erhalten?

Ja! Schicken Sie uns gerne eine E-Mail an kim-pki@uni-hohenheim.de. Wir benötigen von Ihnen ledigtlich die/den exakten FQDN(s) die/der im Zertifikat stehen soll(en). Außerdem müssen wir Ihnen die Accountdaten zusenden können. Hierfür benötigen Sie ein Nutzerzertifikat, damit wir Ihnen dieses digital und verschlüsselt zusenden können. Alternativ können Sie aber auch einen Termin vereinbaren und die Daten hier bei uns auf einem Speichermedium ablegen lassen.

Gibt es eine Dokumentation und/oder Erklärung dazu?

Für Linuxumgebungen gibt es dafür certbot. Eine ausführliche Dokumentaion dazu gibt es hier https://certbot.eff.org/.

Für Windowsumgebungen gibt es dafür winacme. Eine ausführliche Dokumentaion dazu gibt es hier https://www.win-acme.com/.

Beispielaufrufe, weitere Erklärungen und wichtige Informationen im direkten Bezug zu HARICA gibt es hier https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme.

Haben Sie Fragen oder Hinweise zu dieser Seite? Kontaktformular

Wofür werden Serverzertifikate verwendet?

Wichtige Informationen

!Bitte beachten! Wichtige Mitteilung der IT-Sicherheit

!Bitte beachten! Wichtige Mitteilung der IT-Sicherheit

Wichtige Änderung: Drastische Verkürzung der SSL/TLS-Zertifikatslaufzeiten ab 2026

Wichtige Änderung: Drastische Verkürzung der SSL/TLS-Zertifikatslaufzeiten ab 2026

Das Wichtigste in Kürze

Zeitplan der Änderungen

Was bedeutet das für Sie?

Warum diese Änderung?

Handlungsempfehlungen

Betroffene Zertifikate

Unterstützung durch das KIM-PKI-Team

FAQ

Allgemein

Kann ich mein Serverzertifikat widerrufen?

In welchen Formaten kann ich mein Serverzertifikat herunterladen?

Wie lange ist mein SSL-Zertifikat gültig?

Bekomme ich eine Erinnerung über den Ablauf meines Zertifikats?

Wo finde ich den privaten Schlüssel zu meinem Zertifikat?

ACME

Was ist ACME und wofür wird es benötigt?

Ist ACME derzeit verfügbar und wie kann ich einen Account erhalten?

Gibt es eine Dokumentation und/oder Erklärung dazu?

Anleitungen

Haben Sie noch Fragen?