Zertifikate in der paedML®

paedML noch sicherer! Mit qualifizierten Sicherheitszertifikaten in allen drei paedML-Varianten können in Zukunft sensible Daten verschlüsselt und Dienste wie Schulkonsole, Mailverkehr und Fernzugriff abgesichert werden.

Bild: Steppenwolf71, Lizenz: cc

Der Einsatz professioneller Zertifikate in der paedML bietet viele Vorteile für Schulen:

  • pädagogischer Effekt: Es tauchen während des Unterrichts keine störenden Sicherheitswarnungen auf.
  • Absicherung des Datenverkehrs innerhalb der Schule (Webserver, E-Mail, Schulkonsole, Moodle)
  • Absicherung des Datenverkehrs beim Zugriff von außerhalb (z.B. auf Webmail/Home)

In der Schule spielt der Datenschutz eine wichtige Rolle. Gerade beim Zugriff auf E-Mails und die Lernplattform Moodle ist ein Mitlesen von Daten und Kennwörtern unerwünscht. Der Einsatz von Zertifikaten ist deswegen dringend notwendig.

Definitionen

Ein Zertifikat ist im realen Leben vergleichbar mit einem Personalausweis. Es ordnet einen öffentlichen Schlüssel einer Organisation oder auch einer Einzelperson zu. Das Zertifikat besteht dabei immer aus einem öffentlichen Schlüssel und einem privaten Schlüssel. Somit können mit Zertifikaten Nachrichten in einem Netzwerk verschlüsselt und digital signiert werden. Sie werden dabei durch eine Public-Key-Infrastruktur (PKI) ausgestellt, geprüft und verteilt.


Eine Zertifizierungsstelle (Certificate Authority) ist die Organisation, die digitale Zertifikate herausgibt und durch ihre digitale Unterschrift die Zuordnung des Zertifikats zur Organisation/Person beglaubigt. Alle gebräuchlichen Webbrowser (z.B. Internet Explorer, Mozilla Firefox, Google Chrome) beinhalten eine vorkonfigurierte Liste vertrauenswürdiger Zertifizierungsstellen. Deren ausgestellten SSL-Zertifikaten vertraut der Browser (siehe beim Internet Explorer 8 unter Menü: Extras | Internetoptionen | Inhalt | Zertifikate | vertrauenswürdige  Stammzertifizierungsstellen).


Zertifikate werden nicht immer direkt von einer Stammzertifizierungsstelle (Root-CA) ausgestellt, es gibt auch Zwischenzertifikatstellen (Sub-CA). Meistens erzielen diese Sub-CAs günstigere Preise. Falls der Server die Zwischenzertifizierungsstelle nicht kennt, muss das entsprechende CA-Zertifikat auf dem Server nachinstalliert werden. Der aufrufende Webbrowser würde dann beispielsweise das Zertifikat akzeptieren.

Zertifikat:

  • Ordnet öffentlichen Schlüssel einer Organisation/Einzelperson zu
  • Ausstellung, Prüfung und Verteilung durch Public-Key-Infrastructur (PKI)
  • X.509 = Standard für PKI (legt genaue Struktur für Zertifikate fest, Sperrlisten)


Zertifizierungsstelle (Certificate Authority):

  • Organisation, die digitale Zertifikate herausgibt
  • Beglaubigt durch Signierung die Zuordnung des Zertifikats
  • Root-CA: Stammzertifizierungsstelle (z.B. Commodo, Thawte)
  • Sub-CA: Zwischenzertifikatsstelle

Zertifikatstypen

  • Einzelzertifikat
    Mit einem Einzelzertifikat wird genau eine Domain abgesichert. Der allgemeine Name (CN) sieht z.B. so aus: www.lmz-bw.de. Es sind aber auch Domains möglich, die es nur im Intranet gibt, wie www.schule.local. Bei der paedML bieten sich diese Einzelzertifikate an, um den Zugriff auf das Intranet abzusichern (Webserver, Webmail, Moodle, usw.). Wollen Sie sowohl Intranet-Zugriffe, als auch Zugriffe vom Internet aus absichern, sollten Sie besser einen anderen Zertifikatstyp einsetzen. Das Gleiche gilt auch, wenn Sie eine Mehrserverlösung einsetzen.
  • Multidomain-Zertifikat
    Mit einem Multidomain-Zertifikat kann man bis zu 1000 verschiedene Domänen absichern. Das schließt sowohl Subdomänen, als auch Variationen der Domäne mit ein. Für die paedML werden Multidomain-Zertifikate benötigt, wenn man auf den Webserver sowohl von intern als auch von extern zugreifen möchte. Bei der paedML Windows heißt die Domäne immer schule.local. Bei einem externen Zugriff wird hier jedoch zusätzlich z.B. die Schulwebseite benutzt und damit ein Multidomain-Zertifikat benötigt, welches bei der Ein-Server-Lösung www.lmz.de und s1.schule.local schützt.
  • Wildcard-Zertifikat
    Bei einem Wildcard-Zertifikat besteht der CN aus *.Domain, also z.B. aus *.lmz-bw.de. Wildcard-Zertifikate schützen damit beliebig viele Subdomains einer Domain (z.B. www.lmz-bw.de, ftp.lmz-bw.de, mail.lmz-bw.de, vpn. lmz-bw.de) und sind für viele Organisationen eine kostengünstige Alternative zu vielen einzelnen Zertifikaten.
  • EV-Zertifikat (Extended Validation)
    Extended Validation SSL-Zertifikate wurden als direkte Antwort auf den Anstieg betrügerischer Aktivitäten im Internet entwickelt, die das Kundenvertrauen in Online-Transaktionen untergraben. Die Ausgabe von EV-Zertifikaten ist an strengere Vergabekriterien gebunden. Hierbei werden von der Zertifizierungsstelle die Angaben des Antragsstellers viel genauer überprüft und Browser bieten für diese Zertifikate eine besondere optische Anzeige an.
  • Qualifizierte Zertifikate
    Laut EG-Richtlinie 1999/93/EG („Signaturrichtlinie“) müssen qualifizierte Zertifikate einige Anforderungen bezüglich Inhalt und Aussteller erfüllen und dienen der Erstellung von qualifizierten elektronischen Signaturen, die einer eigenhändigen Unterschrift gleichgestellt sind (z.B. bei Rechnungen in Form von PDF-Dateien). In Deutschland unterliegt die Ausgabe dieser Zertifikate der Überwachung durch die Bundesnetzagentur.

Zertifikatsanbieter (Beispiele)

  • PSW Group (Reseller): www.psw.net

  • CAcert (Root CA): www.cacert.org
    CAcert ist ein komplett kostenloser Zertifikatanbieter. CAcert wurde als Non-Profit-Organisation gegründet, zum Zweck die erste Non-Profit-Certificate Authority zu etablieren. Bis dahin wurden global verifizierbare Zertifikate nur von kommerziellen CAs ausgestellt, die dafür Geld verlangten. CAcert unterstützt sowohl Einzel-, als auch Multidomain- oder Wildcard-Zertifikate. Leider ist CAcert nicht in den Root-CA-Listen verbreiteter Programme. Die Anwender müssen daher entweder jedes Zertifikat einzeln prüfen und bestätigen oder das Root-Zertifikat selbst in den Zertifikatsspeicher einfügen. Bei der paedML kann man natürlich auf den Clients das CA-Zertifikat in das Grundimage integrieren bzw. im Netzwerk verteilen.
    Lokale Domänen lassen sich bei diesem Anbieter leider nicht schützen.
  • ready2Host: www.ready2host.de
    Wenn man auf seiner Webseite einen Textlink (also Werbung) als Footer einsetzt, kann man sich für ein einjähriges gesponsertes Positive SSL-Zertifikat bewerben.