Haben Sie sich schon einmal gefragt, was ein Sicherheitszertifikat eigentlich macht? Und weshalb es so wichtig ist? In dem folgenden Beitrag möchten wir Ihnen Antworten auf diese Fragen geben.
Unser Hochschul-WLAN eduroam ist auf dem gesamten Campus der RWTH Aachen verfügbar. Sogar am Ende von Gleis 2 am Hauptbahnhof hat man eine Verbindung zum schnellen und sicheren Netzwerk der Hochschule. Insgesamt rechnen wir mit ca. 133.000 Geräten, die sich grundsätzlich mit dem eduroam verbinden können. Aber wie gelingt die sichere Verbindung zum eduroam? Schließlich erfolgt die Verbindung mit dem Netzwerk automatisch, sobald unsere mobilen Geräte ein Netzwerk in der Nähe erkennen, das eduroam heißt.
Was macht eigentlich ein Sicherheitszertifikat?
Und genau hier kommt das Sicherheitszertifikat ins Spiel. Ihre eduroam-Zugangsdaten müssen an den Authentifizierungsserver (RADIUS) der RWTH übermittelt werden. Da diese Verbindung im eduroam verschlüsselt ist, sind Ihre Zugangsdaten auf dem Übertragungsweg sicher.
Aber wissen Sie, ob Ihre Zugangsdaten an den richtigen Authentifizierungsserver gesendet werden?
Diese Aufgabe übernimmt das Sicherheitszertifikat des Radius-Servers. Wenn Sie z.B. das CAT-Tool benutzt haben, um Ihren eduroam-Zugang auf Ihrem Gerät zu konfigurieren, werden unter anderem der Namen des Radius Servers und das Wurzelzertifikat der Zertifizierungskette auf Ihrem Gerät eingetragen/installiert.
Anhand der Namen, prüft ihr Gerät ob der richtige Radius Server angesprochen wird und anhand des Wurzelzertifikats prüft das TLS Protokoll, ob dieser Radius-Server ein Zertifikat benutzt das von Ihrer vertrauten Zertifizierungsstelle ausgestellt wurde.
Dieses Vertrauen sprechen Sie aus, wenn Sie das Wurzelzertifikat auf Ihrem Gerät installieren. Das heißt:
Einmal installieren und bei jeder Verbindung implizit vertrauen.
Bei diesem Wurzelzertifikat ist eine Umstellung jetzt notwendig. Das „Deutsche Telekom Root CA 2“ Wurzelzertifikat läuft am Dienstag, 9. Juli 2019, um 23:59:00 GMT ab. D.h. alle eduroam-Geräte, die nur diesem Zertifikat vertrauen, werden ab dem 10.7.2019 keinen Zugang mehr bekommen, da die Verbindung zum Radius-Server nicht mehr als vertrauenswürdig erkannt werden wird.
Aber keine Sorge, denn der Radius-Server der RWTH arbeitet schon jetzt mit beiden Sicherheitszertifikaten, die an unterschiedlichen Ketten hängen. Die alte, die am 09.07.2019 abläuft, und die neue, die bis zum 1. Oktober 2033 gültig ist. Sie können schon jetzt auf die neue Kette umstellen, in dem Sie die eduroam-Konfiguration Ihrer Geräte auf das neue Zertifikat umstellen.
Warum ist es so wichtig auch die Zugangsdaten zu ändern?
Ein weiterer Sicherheitsaspekt zum Schutz Ihrer Daten ist, die Zugangsdaten zu verklausulieren. Grundsätzlich ist es aktuell noch möglich mittels eduroam-Zugangsdaten Rückschluss auf Ihre persönlichen Informationen zu bekommen. Eine entsprechende Abhilfe schafft der eduroam Gerätemanager, der für jedes Ihrer Geräte individuelle Zugangsdaten generiert – ohne Ihren Benutzernamen oder Ihr Passwort zu verraten.
Deshalb wird im Zusammenhang mit der Zertifikatsumstellung auch der Login am 04.06.2019 umgestellt. Eine Verbindung mit dem eduroam ist dann nur noch mit sicheren Zugangsdaten aus dem eduroam Gerätemanager möglich, die keinerlei Rückschluss auf persönliche Informationen (z. B. Benutzerkennung ab123456@rwth-aachen.de) zulassen. Auch hier gilt, dass eine Umstellung der Zugangsdaten schon heute möglich und sinnvoll ist.
Wir schreiben Sicherheit groß und möchten, dass Sie auch weiterhin online bleiben. Aus diesem Grund empfehlen wir schon heute das Anlegen von sicheren Zugangsdaten über den eduroam Gerätemanager in Verbindung mit dem neuen Sicherheitszertifikat für Ihre mobilen Geräte.
Uns ist bewusst, dass all dies einen Mehraufwand für Sie bedeutet, daher haben wir uns besonders viel Mühe mit den Anleitungen gegeben. Wie Sie eduroam sicher konfigurieren können, verraten wir Ihnen auf IT Center Help.
Wir danken Ihnen für Ihr Verständnis und freuen uns auf Ihr Feedback!
Verantwortlich für die Inhalte dieses Beitrags ist Nicole Filla mit freundlicher Unterstützung von Ekaterini Papachristou.
Hallo It Center,
hiermit teste Ich die Kommentarfunktion auf Ihrem Blog.
Und wollte fragen, ob Sie den Punkt Blog Policy in Ihrem Disclaimer ein wenig anpassen
können.
Toll wäre das, wenn es analog zu den anderen Disclaimer Punkten erfolgen könnte, die
u.a. auf dem zentralen RWTH Disclaimer zu finden sind.
Also Beschreibung und Umfang der Datenverarbeitung, welche Daten werden erhoben und wie
lange gespeichert. Wie kann ich diese Daten löschen lassen und wie kann ich einen
Blogkommentar löschen lassen.
Ich bin dabei einen Baukasten zum Erstellen von RWTH Disclaimern zu machen und der
Punkt zu Blog fehlt auf der zentralen Seite, da es dort keinen Blog gibt.
Aus dem Internet habe ich jetzt folgenden Text gefunden:
Kommentare
Kommentarfunktion auf dieser Webseite
Für die Kommentarfunktion auf dieser Seite werden neben Ihrem Kommentar auch Angaben zum Zeitpunkt der Erstellung des Kommentars, Ihre E-Mail-Adresse und, wenn Sie nicht anonym posten, der von Ihnen gewählte Nutzername gespeichert.
Speicherung der IP Adresse
Unsere Kommentarfunktion speichert die IP-Adressen der Nutzer, die Kommentare verfassen. Da wir Kommentare auf unserer Seite vor der Freischaltung prüfen, benötigen wir diese Daten, um im Falle von Rechtsverletzungen wie Beleidigungen oder Propaganda gegen den Verfasser vorgehen zu können.
Avatar
Aus der E-Mail-Adresse kann eine anonymisierte Zeichenfolge erstellt (auch Hash genannt) und dem Gravatar-Dienst übergeben werden, um zu prüfen, ob du diesen benutzt. Die Datenschutzerklärung des Gravatar-Dienstes findest du hier: https://automattic.com/privacy/ . Nachdem dein Kommentar freigegeben wurde, ist dein Profilbild öffentlich im Kontext deines Kommentars sichtbar.
Hallo Herr Knoben,
vielen Dank für das Testen unserer Kommentarfunktion. Wir freuen uns sehr, dass Sie diese nutzen und bedanken uns für Ihr ausführliches Feedback.
Ihre Anfrage samt der hilfreichen Anregungen nehmen wir gerne auf und prüfen diese. Die weitere detaillierte Bearbeitung Ihres Kommentars findet über ein entsprechendes Ticket statt, über das wir Sie, wie gewohnt, informieren.
Viele Grüße,
Ihr Blog-Team
Gefällt mir meine ich natürlich
Hallo Sommer Sonne Sonnenschein,
vielen Dank für den Kommentar. Das freut uns natürlich 🙂
Ein schönes Wochenende und viele Grüße
Das IT Center Blog-Team
Fällt mir !