diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex
index c0d4383..f0a5d0d 100644
--- a/MA-Inhalt.tex
+++ b/MA-Inhalt.tex
@@ -392,8 +392,9 @@ Da das BSI in seinen technischen Richtlinien keine Bedenken gegen den Einsatz vo
 
 \paragraph{Festlegen der Schlüssellänge}
 Im nächsten Schritt wird die Länge der RSA-Schlüssel festgelegt, die in allen durch die CA ausgestellten Zertifikaten zum Einsatz kommen soll.
-OpenVPN empfiehlt eine Schlüssellänge größer als 2048 Bit: \textit{\enquote{OpenVPN will migrate to 'preferred' as default in the future. Please ensure that your keys already comply.}}\cite[][Option \texttt{--tls-cert-profile}]{man:openvpn}.
-Das BSI empfiehlt den Schlüssellängen größer als 3000 Bit für Verwendungen über das Jahr 2023 hinaus\cite[][Kapitel 3.5, Absatz \enquote{Schlüssellänge} (S.38)]{bsi:tr-02102-1}.
+OpenVPN empfiehlt eine Schlüssellänge von mindestens 2048 Bit: \textit{\enquote{OpenVPN will migrate to 'preferred' as default in the future. Please ensure that your keys already comply.}}.
+Das Profil \enquote{preferred} ist dabei wie folgt definiert: \textit{\enquote{SHA2 and newer, RSA 2048-bit+, any elliptic curve.}}\cite[][Option \texttt{--tls-cert-profile}]{man:openvpn}.
+Das BSI empfiehlt den Schlüssellängen von mindestens 3000 Bit für Verwendungen über das Jahr 2023 hinaus\cite[][Kapitel 3.5, Absatz \enquote{Schlüssellänge} (S.38)]{bsi:tr-02102-1}.
 
 \paragraph{Eingebettete Informationen}
 Voller Name und die Hochschul-E-Mail-Adresse von Benutzern soll enthalten sein. Das geht nur mit dem vollen Schema.