In der DFN-PKI gibt es ein neues Zertifikatprofil: Webserver MustStaple.

Zertifikate aus diesem Profil sind ganz speziell für den Einsatz auf Webservern vorgesehen, die OCSP-Stapling unterstützen. Die Zertifikate signalisieren über eine besondere Erweiterung jedem prüfenden Client, dass sie ausschließlich zusammen mit einer über Stapling übertragenen OCSP-Response eingesetzt werden. Fehlt die OCSP-Response, z.B. weil sie von einem Angreifer blockiert wurde, soll der Client die Verbindung abbrechen.

In den Webservern, in denen die Zertifikate eingesetzt werden, muss daher unbedingt die OCSP-Stapling-Funktion aktiviert sein. Im Microsoft IIS ist diese per Voreinstellung aktiviert.

Für Apache finden Sie in folgendem Beitrag Konfigurationshinweise:  https://blog.pki.dfn.de/2015/03/mehr-privacy-fuer-den-nutzer-ocsp-stapling/

Für nginx: https://blog.pki.dfn.de/2015/06/ocsp-stapling-in-nginx/

Der Mechanismus schützt Nutzer dagegen, dass ein Angreifer einen Webserver mit einem gesperrten Zertifikat spooft (also nachmacht) und die Abfrage des Sperrstatus durch die Clients blockiert.

Aber Achtung: Auch beim Einsatz auf falsch konfigurierten oder ungeeigneten Webservern wird die Verbindung von konformen Clients abgewiesen.

Das Zertifikatprofil „Webserver MustStaple“ kann ausschließlich vom Teilnehmerservice nach der Beantragung durch den Serveradministrator gesetzt werden.

Die zugrunde liegende Spezifikation ist RFC7633. Die Zertifikate enthalten eine sogenannte „TLS Feature Extension“ mit Wert „status_request“.

(jbr, 30.03.2016)

In der DFN-PKI müssen Personen mit bestimmten Funktionsrollen regelmäßig persönlich identifiziert werden.

Die DFN-PKI nutzt seit einigen Jahren zusätzlich zur persönlichen Identifizierung in den DFN-Geschäftsstellen oder bei der DFN-CERT Services GmbH auch das „POSTIDENT Basic“-Verfahren der Deutschen Post AG. Das POSTIDENT-Verfahren ermöglicht eine Identifizierung am Ort und hilft dabei, aufwendige Dienstreisen zu vermeiden.

Ende 2015 hat die Post ihre POSTIDENT-Produkte umbenannt und den Umfang ergänzt. Das altbekannte „POSTIDENT Basic“ ist jetzt im „POSTIDENT durch Postfiliale“ aufgegangen. Zusätzlich zur bewährten Identifizierung scannt die Post nun bei einer Identifizierung in der Filiale auch noch den vorgelegten Ausweis. Dies ist der Post, die mit den POSTIDENT-Verfahren hauptsächlich eine Geldwäsche- und Signaturgesetz-konforme Methode zur Identifizierung von Personen anbietet, nach dem deutschen Geldwäschegesetz erlaubt.

Für die zu identifizierenden Personen und den DFN-Verein gibt es leider keine Möglichkeit mehr, POSTIDENT ohne diesen Ausweis-Scan durchführen zu lassen.

Der Ausweis-Scan liegt der Post nur in digitaler Form vor und wird dem Auftraggeber der Identifizierung erst auf gesonderte Vereinbarung zugänglich gemacht. Der DFN-Verein hat mit der Post keine Vereinbarung hierüber geschlossen und dementsprechend auch keinen Zugriff auf die Ausweis-Scans. Der DFN-Verein erhält wie gehabt ausschließlich das von der/dem Identifizierten in der Filiale unterschriebene Papierformular.

Nach Aussage der Post werden die Daten ausschließlich auf deutschen Servern gespeichert. Die Daten werden im Fall des DFN-Vereins von der Post nach der kürzest möglichen Speicherdauer von zwei Tagen gelöscht, ohne dass dieser Zugriff auf die digitalen Daten erhält.

Leider gibt es keine in der DFN-PKI nutzbare POSTIDENT-Variante in der Postfiliale/-Agentur ohne Ausweis-Scan. Wenn Sie nicht wünschen, dass Ihr Ausweis von der Post eingescannt wird, können wir Sie auf die selbstverständlich immer mögliche persönliche Identifizierung direkt in den Geschäftsstellen des DFN-Vereins (Berlin oder Stuttgart) bzw. in den Räumlichkeiten der DFN-CERT Services GmbH (Hamburg) verweisen. Alternativ bietet sich auch ein Treffen bei einer Veranstaltung mit DFN-Beteiligung (z.B. Betriebstagungen, Konferenzen etc.) an.

[POSTIDENT AGBs]

(rkm, 17.03.2016)