X.509 Zertifikate für E-Mail-Adressen an der TU KL
An der TU Kaiserslautern bietet das RHRK mit der RHRK-PKI einen, soweit ich weiß, wenig bekannten Service an. Jeder Student der TU kann sich dort ein Zertifikat für seine Uni-E-Mail-Adressen beantragen.
Um ein Zertifikat zu beantragen, muss man einfach dieses Webformular ausfüllen. Danach meldet man sich bei Herrn Stemler in Raum 34-318 und weist sich aus, woraufhin er das beantragte Zertifikat signiert. Das Eintragen zusätzlicher Adressen war bei mir auf Anfrage kein Problem (neben @rhrk kann man auch @cs und @informatik aufnehmen lassen). Einen USB-Stick dabei zu haben kann nicht schaden, ich bin mir aber nicht mehr sicher, ob man den wirklich braucht.
Nachdem man dann die resultierende PKCS#12-Datei im Mailclient seiner Wahl importiert hat, kann man fortan fröhlich signierte Mails verschicken und verschlüsselte Empfangen. Weitersagen. 😉
Schön wäre es ja, wenn man auf diese Art und Weise ein kostenloses SSL-Zertifikat für die eigene Domain bekommt. (Also auch für Domains jenseits von .uni-kl.de)
Solange die Domain nicht über das RHRK registriert ist, wäre das wohl ziemlich fahrlässig.
Ich weiß nicht, ob man beim RHRK als Externer bzw. für private Zwecke Domains registrieren kann. Aber als Hochschulgruppe geht das auf jeden Fall – vielleicht kann man sich in dem Fall ein SSL-Zertifikat ausstellen lassen.
>Solange die Domain nicht über das RHRK registriert ist, wäre das wohl ziemlich fahrlässig.
verglichen mit der gängigen SSL vergabe würde das auch nicht mehr viel aus machen.
Aus Benutzersicht (der ein Zertifikat haben möchte) vielleicht nicht, für die Vertrauenswürdigkeit der RHRK-CA schon. Nur weil es CAs gibt, die kaum ernst zu nehmende Überprüfungen machen und deshalb nicht sonderlich vertrauenswürdig sind, ist das ja kein Grund für das RHRK das selbe zu machen.
Zur Info: Wer ein solches Zertifikat hat, kann sich unter https://portal.cert.dfn.de/ einloggen und Mails für Schwachstellen konfigurieren.
Die Mailingliste win-sec (https://lists.uni-kl.de/uni-kl/info/win-sec) leitet zwar alle diese Mails weiter, aber dann müsste man sich entsprechende Filterregeln beim Client oder beim eigenen Mailprovider konfigurieren, um nicht an der Mailflut zu ersticken.