Die Artikel betrifft alle IT-Mitarbeiter der Universität. Er wird fortlaufend aktualisiert.

Wie einige von euch sicher schon gerüchteweise erfahren haben, ist es zu
Verwerfungen zwischen dem Dachverband der europäischen Wissenschaftsnetzwerke
(GÉANT) und dem von diesem kontraktierten Zertifikatsanbieter Sectigo gekommen.
Über diesen Vertrag beziehen auch die Mitgliedseinrichtungen des Deutschen
Forschungsnetzes (DFN) und damit auch die Universität Bremen ihre Zertifikate.

Soweit bisher bekannt, hat Sectigo ohne jede Ankündigung die Ausstellung von
Zertifikaten für Institutionen verweigert, von denen Sectigo aus unklaren Gründen
annimmt, dass sie nicht berechtigt sind, im Rahmen des GÉANT-Vertrags Zertifikate
zu beziehen. Bis heute gibt es keine Liste, welche Institutionen/Domains betroffen
sind und es fällt erst auf, wenn die Ausstellung eines entsprechenden Zertifikats
mit einer obskuren Fehlermeldung verweigert wird.

Die Situation ist in den letzten Wochen eskaliert und nun hat Sectigo den Vertrag
mit dem GÉANT zum 10.01.2025 vorzeitig gekündigt.

GÉANT prüft rechtliche Schritte dagegen. Es ist aber davon auszugehen, dass ab
10.01. keine Zertifikate mehr über Sectigo bezogen werden können. GEANT versucht,
zeitnah einen Vertrag mit einem alternativen Zertifikatsanbieter abzuschließen. Es
besteht aber eine signifikante Wahrscheinlichkeit, dass das nicht bis zum 10.01.
gelingt. Das Vertragsvolumen ist beträchtlich, die Vertragsgestaltung komplex,
und viele von uns werden schon einmal Kontakt mit Ausschreibungen auf europäischer
Ebene gemacht haben und wissen, was das - auch im Rahmen einer Notvergabe - für
einen Aufwand bedeutet.

Was bedeutet das nun konkret:

a) Wir empfehlen euch (!)dringend(!) alle eure Server-Zertifikate noch vor
  Weihnachten außerplanmäßig zu erneuern. Diese neu erstellten Zertifikate werden
  ein Jahr Laufzeit haben, was für bestehende Services einen zeitlichen Puffer bis
  Ende kommenden Jahres bringt. Für persönliche Zertifikate gilt ebenso, dass es
  aus unserer Sicht sinnvoll ist, das persönliche Zertifikat außerplanmäßig zu
  erneuern.

b) Neue Zertifikate können ab 10.01. nicht mehr über Sectigo bezogen werden. Ob und
  wie die Ausstellung neuer Zertifikate übergangsweise und dauerhaft realisiert
  werden wird, können wir aktuell noch nicht sagen - das hängt davon ab, wie
  schnell ein neuer Anbieter gefunden wird und wie aufwändig die Anpassung unserer
  In-House-Tools an eine neue API wird.

  Die Verantwortlichen beim DFN sind optimistisch, dass bis zum 10.01. ein neuer
  Anbieter kontraktiert werden kann. Unklar ist allerdings, wie zügig die
  Einrichtung/Migration/Validierung der teilnehmenden Einrichtungen (das sind
  europaweit ca. 8000) passieren kann.

c) Let's Encrypt kann eine Möglichkeit sein, eine Übergangszeit zu überbrücken.
  Wir werden zeitnah anschauen, inwieweit wir unsere zentralen Werkzeuge darauf
  umstellen können oder welche anderen Hilfestellungen zur Nutzung wir euch an
  die Hand geben können.

  Let's Encrypt ist aber nicht die Lösung für alle Probleme. Die Challenges sind
  sind nicht in allen Fällen einfach umzusetzen - nicht jeder Dienst ist ein
  Webserver im Internet. Zudem gibt es Beschränkungen bzgl. der Menge der
  Zertifikate, die pro Domain erstellt werden können.
   
Wir werden euch natürlich weiter über die Situation auf dem Laufenden halten.

Das DFN stellt eine kontinuierlich aktualisierte FAQ zur Verfügung:

 https://doku.tid.dfn.de/de:dfnpki:tcsfaq:aktuellesituation

Obwohl Probleme mit dem Anbieter Sectigo seit langem bekannt sind, wurden wir, wie
alle europäischen Wissenschaftseinrichtungen, von der Entwicklung - insbesondere
der kurzfristigen Vertragskündigung - völlig überrascht. Vermutlich werden wir
alle für eine gewisse Übergangszeit viel improvisieren müssen. Wir werden euch so
gut wie möglich unterstützen, um einen reibungslosen Betrieb der zentralen und
dezentralen Services sicherzustellen.