Quelle: Eigene Darstellung
Am 9. September 2025 wird im Rahmen einer turnusmäßigen Sicherheitsmaßnahme das Root-Zertifikat für den RADIUS-Server von eduroam und RWTH-institutes auf das neue DFN Community Root CA 2022 umgestellt. Ab diesem Zeitpunkt funktioniert nur noch das neue Zertifikat – eine Nutzung des alten ist nicht mehr möglich. Damit ihr auch nach dem 9. September ohne Probleme und sicher verbunden bleibt, solltet ihr eure WLAN-Konfiguration rechtzeitig aktualisieren.
Warum wird das Zertifikat ausgetauscht?
Zertifikate sind ein zentraler Baustein moderner Netzwerksicherheit. Im Fall von eduroam stellt das Root-Zertifikat sicher, dass sich Nutzende beim Verbindungsaufbau ausschließlich mit dem RADIUS-Server der eigenen Hochschule verbinden.
Dieses Verfahren verhindert Angriffe böswilliger Dritter, die versuchen, WLAN-Anmeldedaten abzugreifen. Durch die Zertifikatsvalidierung erkennt das Endgerät, ob der Server wirklich vertrauenswürdig ist oder nicht.
Da Root-Zertifikate befristet gültig sind und Sicherheitsstandards sich weiterentwickeln, ist ein regelmäßiger Austausch notwendig.
Wer ist betroffen?
Damit sich ein Gerät erfolgreich mit eduroam oder RWTH-institutes verbinden kann, muss das hinterlegte Root-Zertifikat als vertrauenswürdig anerkannt werden.
Betroffen von der Änderung sind:
- Alle Geräte mit Zertifikatsprüfung (EAP-PEAP / EAP-TTLS).
- Alle Geräte, die die eduroam CAT-App vor dem 12. Juni 2025 installiert haben.
Nicht betroffen: Geräte mit der EAP-PWD Methode (zum Beispiel bei Android oder Linux).
Wie könnt ihr eduroam weiterhin nutzen?
Die sicherste und einfachste Lösung:
- eduroam CAT-App nach dem 12. Juni 2025 neu installieren.
Dadurch wird das neue Zertifikat automatisch eingebunden und die Verbindung abgesichert. Eine Schritt-für-Schritt-Anleitung dazu findet ihr auf IT Center Help.
Technisch versierte Nutzende können das Zertifikat natürlich auch manuell installieren und für Admins ist eine Verteilung über die Gruppenrichtlinien möglich. Darüber wurden die Admins bereits gesondert informiert.
Was passiert, wenn man nicht aktiv wird?
Ab dem 9. September 2025 können sich Geräte, die das neue Root-Zertifikat nicht eingebunden haben, in der Regel nicht mehr mit eduroam oder RWTH-institutes verbinden. In vielen Fällen erscheint dabei eine Zertifikatswarnung – insbesondere bei Windows 11 ist diese jedoch nicht immer sichtbar.
Das bedeutet:
Wer bisher keine Validierung aktiviert hatte, könnte zunächst weiterhin eine Verbindung aufbauen – allerdings auf unsichere Weise. Die Gefahr besteht darin, gegebenenfalls falsche eduroam-Anbieter zu nutzen und so die eigenen Zugangsdaten zu verlieren. Nur eine aktuelle Konfiguration mit dem neuen Root-Zertifikat stellt sicher, dass Verbindungen geschützt und vertrauenswürdig sind.
Was macht das eduroam Configuration Assistant Tool (CAT)
Das eduroam CAT stellt sicher, dass:
- Das neue Root-Zertifikat installiert wird,
- die Zertifikatsvalidierung aktiv ist,
- nur das korrekte RADIUS-Zertifikat akzeptiert wird.
In den erweiterten WLAN-Eigenschaften erkennt man, dass das CAT „nur Zertifikate dieser Stammzertifizierungsstelle“ akzeptiert. Dies schützt effektiv vor Verbindungsversuchen zu nicht vertrauenswürdigen RADIUS-Servern.
Fazit
Die Umstellung auf das neue Root-Zertifikat ist ein essenzieller Schritt zur Erhaltung der Netzwerksicherheit. Alle Nutzenden sollten daher ihre eduroam- oder RWTH-institutes-Verbindung rechtzeitig aktualisieren, um Unterbrechungen und Risiken zu vermeiden.
Verantwortlich für die Inhalte dieses Beitrags sind Thomas Böttcher, Sara Erdem und Janin Iglauer.
Schreibe einen Kommentar