Rechenzentrum
Disruptive Änderung am Zertifikatsservice zum 10.01.2025 | Disruptive change to the certificate service as of 10.01.2025
18. November 2024, von RRZ-ServiceLine
English version below
Voraussichtlich zum 10.01.2025 wird der Dienstleister Sectiogo das Ausstellen von Zertifikaten für alle GÉANT TCS Kunden einstellen. Hiervon sind in Europa ca. 8.000 (Forschungs-) Einrichtungen betroffen, darunter etwa 450 Einrichtungen allein in Deutschland.
Hintergrund sind Uneinigkeiten über zentrale Vertragsfragen, u.a. auch zum Zeitpunkt, wann eine von Sectigo ausgesprochene Kündigung wirksam werden kann. Derzeit muss davon ausgegangen werden, dass Sectigo die Leistungserbringung zum 10.01.2025 einstellen wird.
GÉANT ist bereits mit Hochdruck auf der Suche nach einem neuen Dienstleister, jedoch wird es voraussichtlich bis zur Leistungserbringung durch diesen zu einer mehrmonatigen Dienstunterbrechung kommen.
Wir empfehlen daher dringend, dass Sie Zertifikate, die bis Ende Q2 2025 auslaufen werden, noch vor Jahresende 2024 erneuern. So kann die Zeit überbrückt werden, bis das erforderliche Onboarding des neuen Dienstleisters und die Anpassung der Arbeitsabläufe an die neuen Schnittstellen und APIs für den Regelbetrieb abgeschlossen sind. Anleitungen zur Beantragung von Zertifikaten finden Sie unter https://www.rrz.uni-hamburg.de/services/sicherheit/pki/beantragen-von-zertifikaten.html.
Welche Zertifikate sind betroffen?
Es sind sowohl Server (SSL) Zertifikate als auch persönliche Zertifikate und Gruppenzertifikate (für Funktionspostfächer) (S/MIME) für Postfächer betroffen.
Werden Zertifikate von Sectigo nach dem 10.01.2025 gesperrt werden?
Dies ist unwahrscheinlich, da es nach Aussage von GÉANT klare vertragliche Regelungen gibt, dass nicht gesperrt werden darf.
Was kann ich tun, wenn ich nach dem 10.01.2025 ein neues Zertifikat für einen Server benötige?
Falls Sie das heute schon absehen können, beantragen Sie noch vor Jahresende ein neues Zertifikat.
Wenn es sich um einen Webserver handelt, den Sie selbst administrieren, dann setzen Sie die Automatisierung über ACME um. Sie können dann Zertifikate für Server mit kurzer Laufzeit beispielsweise von Let’s Encrypt oder ZeroSSL beziehen.
Wo gibt es aktuelle Informationen zu diesem Thema?
Neue Informationen werden regelmäßig auf der Webseite des RRZ veröffentlicht.
--
The service provider Sectiogo is expected to stop issuing certificates for all GÉANT TCS customers on January 10, 2025. This affects approximately 8,000 (research) institutions in Europe, including around 450 institutions in Germany alone.
The background to this is disagreement over key contractual issues, including the point in time at which a termination notice issued by Sectigo can take effect. At present, it must be assumed that Sectigo will cease providing the service on January 10, 2025.
GÉANT is already working hard to find a new service provider, but it is likely that there will be a service interruption of several months before the new provider can provide the service.
We therefore strongly recommend that you renew certificates that will expire by the end of Q2 2025 before the end of 2024. This will help to bridge the gap until the necessary onboarding of the new service provider and the adaptation of workflows to the new interfaces and APIs for regular operation have been completed. Instructions for applying for certificates can be found at https://www.rrz.uni-hamburg.de/services/sicherheit/pki/beantragen-von-zertifikaten.html.
Which certificates are affected?
Both server (SSL) certificates and personal certificates and group certificates (for functional mailboxes) (S/MIME) for mailboxes are affected.
Will Sectigo certificates be blocked after January 10, 2025?
This is unlikely, since according to GÉANT, there are clear contractual provisions that do not allow blocking.
What can I do if I need a new certificate for a server after January 10, 2025?
If you can already see today that you will need a new certificate, request one before the end of the year.
If it is a web server that you administer yourself, then implement the automation via ACME. You can then obtain certificates for servers with a short runtime from Let's Encrypt or ZeroSSL, for example.
Where can I find up-to-date information on this topic?
New information is regularly published on the RRZ website.