Im November 2024 hat der aktuelle Anbieter des Zertifikatsservice den Vertrag mit GÉANT, auf dem das ACOnet Zertifikatsservice beruht, einseitig gekündigt. Als Begründung wurde angegeben, dass das Service in der aktuellen Form nicht rentabel sei.
Zudem gibt es Meinungsverschiedenheiten zum Umfang und der Laufzeit des Vertrags.

Im Folgenden versuchen wir, Antworten auf die häufigsten Fragen zu geben.
Diese FAQs werden auch laufend erweitert und angepasst.

Worin bestehen die Meinungsverschiedenheiten zum Umfang des Vertrags?

Der Vertrag wurde aus Sicht von GÈANT für alle Teilnehmerorganisationen eines NREN abgeschlossen und so wurde es die letzten Jahre auch gehandhabt.
Der aktuelle Anbieter meint jetzt aber, dass nur Organisationen, deren primärer Zweck der Bildung, Wissenschaft & Forschung dient, berechtigt sind, Zertifikate abzurufen. Alle anderen Teilnehmerorganisationen sind demnach nicht berechtigt.

Was passiert bei "nicht berechtigten" Organisationen?

Das Ausstellen von Zertifikaten könnte jederzeit unterbunden werden und teilweise ist das auch schon geschehen.

Wie kann ich erkennen, ob ich bereits betroffen bin?

Beim Versuch ein Zertifikat auszustellen kommt folgende Fehlermeldung:

CA Error Information:
Error Message : Pre-Validation ID <Validierungs-ID der Organisation> is not available.

Sollten sie betroffen sein, wenden sie sich bitte an tcs@aco.net. Sowohl wir, als auch GÈANT tun unser Möglichstes, um die gewohnte Funktionalität wieder herzustellen.
Die bisherigen Erfahrungen zeigen leider, dass der aktuelle Anbieter nicht bereit ist, hier einzulenken. Es werden jedenfalls alle Anstrengungen unternommen, sehr zeitnah einen Ersatz zu finden.

Wird es einen neuen Vertrag mit dem aktuellen Anbieter bzw. eine Verlängerung geben?

Aus derzeitiger Sicht ist das auszuschließen, da das aktuelle Verhalten des Anbieters jede weitere Zusammenarbeit aussichtslos erscheinen lässt.

Was geschieht mit den Zertifikaten, die über die Vertragslaufzeit hinaus gültig sind?

Bei Beendigung des Vertragsverhältnisses werden keine Zertifikate widerrufen. Die Zertifikate bleiben bis zum Ende ihrer Laufzeit gültig.

Ab wann wird das Service, mit dem aktuellen Anbieter als Certificate Authority, nicht mehr zur Verfügung stehen?

Aus Sicht von GÈANT läuft der Vertrag bis Ende April 2025. Allerdings steht der aktuelle Anbieter auf dem Standpunkt, daß sie das Service bereits am 10.01.2025 beenden können. Es wird noch aktiv verhandelt, allerdings müssen wir zum jetzigen Zeitpunkt von einer Beendigung zum 10.01.2025 ausgehen.

Zukunft des Zertifikatsservice

Seit erkennbar ist, dass der aktuelle Anbieter nicht ernsthaft an einer weiteren Zusammenarbeit interessiert ist, werden alle Anstrengungen unternommen, sehr zeitnah einen Ersatz zu finden. Die aktuellen Entwicklungen schauen sehr gut aus, konkrete Details geben wir bekannt, sobald uns das möglich ist.
Es steht aber ausser Frage, dass das Service fortgeführt werden wird.

Mögliche nächste Schritte für ACOnet-Teilnehmer mit TCS-Nutzung

  • Zumindest kritische Zertifikate, die bis einschließlich Q1/2025 auslaufen, sollten so schnell wie möglich erneuert werden. Das gilt sowohl für Server-, als auch für S/MIME-Zertifikate
  • Setzen sie ACME zur Automatisierung ein. Sowohl zukünftige TCS-Anbieter, als auch Alternativen wie Let's Encrypt oder ZeroSSL, unterstützen ACME. Eine Umstellung ist damit einfach und zeitnah möglich

API Nutzung

Nutzer der REST API des aktuellen Anbieters werden ihre Skripts, Programme und Integrationen auf den neuen Anbieter anpassen müssen. Informationen dazu werden wir umgehend weitergeben.

Was passiert mit den Daten im Portal des aktuellen Anbieters (Organisation, Domains, Admins,..)?

Ziel ist, natürlich so viel wie möglich automatisiert zu übernehmen. In welchem Ausmaß das konkret möglich sein wird, können wir derzeit nicht sagen.

  • No labels