Neue Antragsseiten für Nutzerzertifikate, die Zweite

Nachdem Anfang September 2019 auf Grund von technischen Änderungen in den Browsern relativ kurzfristig neue Antragsseiten für die Beantragung von Nutzerzertifikaten in Betrieb genommen wurden, steht demnächst eine weitere Neuerung in diesem Bereich an.

Durch den Wegfall der Unterstützung des <KEYGEN>-Tags zur lokalen Erzeugung von privaten Schlüsseln direkt im Browser wurde im September letzten Jahres der Umstieg auf Antragsseiten mit JavaScript WebCrypto-Technologie unter Nutzung von (Offline-)Website-Daten (sog. LocalStorage), welche ein Teil der Browser-Chronik sind, zur Speicherung der Antragsdaten (inkl. privaten Schlüssel) während des andauernden Zertfifizierungsvorgangs vollzogen.

Die Erfahrung zeigt nun, dass der LocalStorage dabei oft nicht langlebig genug ist, da dieser viel zu häufig durch Browser-Einstellungen oder bestimmte Browser-Updates, die die Browser-Chronik (regelmäßig automatisch) löschen, verloren geht und damit auch die Antragsdaten und insbesondere die darin lokal abgelegten privaten Schüssel zu den ausstehenden Zertifikatanträgen. Das führte dann in etlichen Fällen dazu, dass ausgestellte Nutzerzertifikate nicht mehr mit deren zugehörigen privaten Schlüsseln zusammen geführt und zur weiteren Nutzung abgespeichert werden konnten.

Die zukünftige Version des neuen Antragsformulars wird nun im Laufe des Frühjahrs ohne die Verwendung des flüchtigen LocalStorage erscheinen, um diese Schwierigkeiten zu umgehen. Daher wird sich der Beantragungsfluss wieder ändern. Antragsteller von Nutzerzertifikaten müssen in der künftigen Version ihre Antragsdaten (inkl. lokal im Browser erzeugten privaten Schlüssel) als Datei-Download aus dem Browser herunterladen und zwischenspeichern und dann wieder in den Browser herein laden, um schlussendlich das fertige Zertifikat abzuholen und zusammen mit dem privaten Schlüssel als PKCS#12-Datei (.p12) abspeichern zu können.

Aber irgendetwas ist ja immer 🙂

(rkm, 27.01.2020)

Version 5 der Zertifizierungsrichtlinie der DFN-PKI im Sicherheitsniveau „Global“

Zum 31.01.2020 tritt die Zertifizierungsrichtlinie 5 im Sicherheitsniveau „Global“ in Kraft. Änderungen in Version 5:

  • Titel und Fußzeile: Versionsnummer und Datum.
  • 1.2: OIDs
  • 1.3.1: Liste der Root-Zertifikate und ausstellenden CAs aktualisiert
  • 2.2: Liste der Root-Zertifikate aktualisiert
  • 3.2.3: Validierung von Domains von E-Mail-Adressen beschrieben

Die Version 5 der Erklärung zum Zertifizierungsbetrieb für das Sicherheitsniveau „Global“, Datum des Inkrafttretens ebenfalls 31.01.2020, beinhaltet folgende Änderungen:

  • Titel und Fußzeile: Versionsnummer und Datum
  • 1.2: OIDs
  • 6.6.2: Intervall der Konfigurationsüberprüfung

Die neuen Dokumente finden Sie unter den folgenden URLs:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V5.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V5.pdf

(Jürgen Brauckmann, 17.01.2020)

ETSI-Audit 2019 abgeschlossen

Das Audit der DFN-PKI nach ETSI EN 319 411-1 wurde bereits Mitte Dezember erfolgreich abgeschlossen. Die zugehörige Zertifizierungsurkunde ist vom TÜViT veröffentlicht: https://www.tuvit.de/fileadmin/Content/TUV_IT/zertifikate/de/67122UD_s.pdf

Auch 2019 fanden wieder angekündigte und vorbereitete Besuche bei Teilnehmern der DFN-PKI statt, bei der der Teilnehmerservice stichprobenartig untersucht wurde. Wir bedanken uns bei allen Einrichtungen, die wie auch in den letzten Jahren mit ihrer guten Arbeit ein erfolgreiches Audit der DFN-PKI  ermöglicht haben!

(Jürgen Brauckmann, 17.01.2020)

Java RA-Oberfläche Version 3.2.1

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.2.1 hier herunterladen:

guira-3.2.1.zip

guira-3.2.1.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Version 3.2.1 (10.12.2019)

  • Bugfix BouncyCastle class cast

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Oracle Java ab Version 11 kann auch verwendet werden. Bitte beachten Sie hierzu:
    • In unseren Abnahmetests verwenden wir OpenJDK
    • Bitte berücksichtigen Sie die geänderten Lizenzbedingungen für den nicht-privaten Einsatz von Oracle.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Hinweise zum Bezug von Java finden Sie unter: https://blog.pki.dfn.de/2019/05/bezugsquellen-fuer-java-zum-betrieb-der-ra-oberflaeche

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

(Jürgen Brauckmann, 10.12.2019)

Java RA-Oberfläche Version 3.2

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.2 hier herunterladen:

guira-3.2.zip

guira-3.2.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Version 3.2 (04.12.2019)

  • Workflow zum Beantragen von E-Mail-Domains aktualisiert: E-Mail-Domains müssen nun wie bereits Server-Domains per Challenge-E-Mail validiert werden.

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Oracle Java ab Version 11 kann auch verwendet werden. Bitte beachten Sie hierzu:
    • In unseren Abnahmetests verwenden wir OpenJDK
    • Bitte berücksichtigen Sie die geänderten Lizenzbedingungen für den nicht-privaten Einsatz von Oracle.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Hinweise zum Bezug von Java finden Sie unter: https://blog.pki.dfn.de/2019/05/bezugsquellen-fuer-java-zum-betrieb-der-ra-oberflaeche

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

(Jürgen Brauckmann, 09.12.2019)

Java RA-Oberfläche Version 3.1.1

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.1.1 hier herunterladen:

guira-3.1.1.zip

guira-3.1.1.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Version 3.1.1 (29.10.2019)

  • Anpassung an aktuelle TLS-Cipher

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Oracle Java ab Version 11 kann auch verwendet werden. Bitte beachten Sie hierzu:
    • In unseren Abnahmetests verwenden wir OpenJDK
    • Bitte berücksichtigen Sie die geänderten Lizenzbedingungen für den nicht-privaten Einsatz von Oracle.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

(Jürgen Brauckmann, 07.11.2019)

SOAP-Client Version 3.8.1/4.0.2

Das Bundle mit der Dokumentation und der Java-Client-Bibliothek der SOAP-Schnittstelle der DFN-PKI steht nun in neuen Versionen bereit. Wesentliche Neuerung ist eine interne Verbesserung beim Aufbau von TLS-Verbindungen. In früheren Versionen konnte es in Abhängigkeit von der Java-Version zu Problemen kommen, wenn der Server nur TLS >= 1.2 unterstützte.

Für JDK >=11: https://info.pca.dfn.de/doc/soapclient-bundle-4.0.2.tar.gz

Für JDK 8 (Umstieg auf JDK 11 empfohlen): https://info.pca.dfn.de/doc/soapclient-bundle-3.8.1.tar.gz

Für Entwicklungsarbeiten empfehlen wir dringend, dass Sie unsere Test-PKI verwenden. Sprechen Sie uns bitte an, um einen Zugang zu erhalten. Kontakt: mailto:dfnpca@dfn-cert.de

Bitte beachten Sie, dass Sie bei der Implementierung von eigenen Systemen unbedingt die Vorgaben der Zertifizierungsrichtlinie und des Dokumentes Pflichten der Teilnehmer einhalten müssen. Bitte besprechen Sie Ihr Projekt vorab mit uns. Kontakt: mailto:dfnpca@dfn-cert.de

(Jürgen Brauckmann, 07.11.2019)

Änderungen an Browsern: Verstecken von Extended Validation und Abschaltung von TLS < 1.2

Extended Validation

Nach dem Safari und Edge vorgelegt haben, werden auch in Chrome 77 (Release Mitte September 2019) und Firefox 70 (Mitte Oktober 2019) die  Hinweise auf Extended Validation Zertifikate aus der Adresszeile verschwinden und in Page Info o.ä. Stellen versteckt werden.

Ankündigungen mit Screenshots:

https://groups.google.com/a/chromium.org/forum/#!topic/security-dev/h1bTcoTpfeI

https://groups.google.com/forum/#!topic/firefox-dev/6wAg_PpnlY4

Abschaltung alter TLS-Versionen

Ab Januar 2020 werden alle Browser-Hersteller Updates herausbringen, in denen der Support für TLS 1.0 und 1.1 entfernt wird. Sollten Sie Server einsetzen, die noch kein TLS 1.2 unterstützen, müssen Sie, je nach Nutzung des Servers, tätig werden. Grundsätzlich sollten alle Server-Betriebssysteme, die in 2020 noch Support haben, TLS 1.2 unterstützen. Es empfiehlt sich aber trotzdem, insbesondere ältere Installationen mit Werkzeugen wie https://ssllabs.com/ssltest oder https://testssl.sh zu überprüfen, ob TLS 1.2 wirklich konfiguriert ist.

https://blog.mozilla.org/security/2018/10/15/removing-old-versions-of-tls

https://security.googleblog.com/2018/10/modernizing-transport-security.html

https://blogs.windows.com/msedgedev/2018/10/15/modernizing-tls-edge-ie11/

https://webkit.org/blog/8462/deprecation-of-legacy-tls-1-0-and-1-1-versions/

 

(Jürgen Brauckmann, 13.08.2019)

Konfiguration von TLS-Servern: Aktueller Cipher-String 2019

Bekanntermaßen ist die Konfiguration der Crypto-Parameter von TLS-Servern  eine kontinuierliche Aufgabe, siehe hierzu auch den ausführlichen Artikel Konfiguration von TLS-Servern: Ständige Herausforderung.

Im Vergleich zu unserem letzten Cipher-String von Ende 2017 sind die folgenden Änderungen sinnvoll:

  • TLS 1.0 und 1.1 abschalten
  • RSA für den reinen Schlüsselaustausch deaktivieren
  • CBC deaktivieren

Am zweckmäßigsten scheint inzwischen eine kurze Positiv-Liste mit expliziter Angabe der unterstützten Cipher zu sein. Die DFN-PKI wird auf ihren Servern im Laufe von 2019 die folgende Konfiguration aktivieren:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On

SSLCipherSuite 'ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256'

Zu einem so konfigurierten Server können die folgenden veralteten Clients keine Verbindung mehr aufnehmen: Safari <= 8, WinPhone 8.1, IE 8-10 auf Win7, Android <= 4.3, Java <= 7.

Bitte beachten Sie auch die weiteren Konfigurations-Empfehlungen aus dem oben genannten Artikel, insbesondere die Anleitung für individuelle Diffie-Hellman-Parameter.

(Jürgen Brauckmann, 07.08.2019)