Umstellung notwendig: Änderungen am SOAP-API

Einige Anwender der DFN-PKI nutzen die SOAP-API (https://blog.pki.dfn.de/tag/soapclient-releases/) zur Entwicklung von eigenen Systemen. An diesen Eigenentwicklungen müssen nun bis spätestens November 2021 Anpassungen vorgenommen werden, um die folgenden Änderungen umzusetzen. Nicht betroffen sind Anwender, die ausschließlich die Java RA-Oberfläche und die Web-Antragsseiten nutzen. Änderungen bei newRequest() Der Subject-DN im PKCS#10-Request, der bei newRequest() übergeben wird, […]

SOAP-Client Version 4.3

Das Bundle mit der Dokumentation und der Java-Client-Bibliothek der SOAP-Schnittstelle der DFN-PKI steht nun in einer neuen Version für JDK >= 11 bereit: https://info.pca.dfn.de/doc/soapclient-bundle-4.3.tar.gz Änderungen der Version 4.3 gegenüber 4.0.2: Neue Funktionen in der öffentlichen Schnittstelle: newRequest(int RaID, String PKCS10, String[] AltNames, String Role, String Pin, String AddName, String AddEMail, String AddOrgUnit, boolean Publish,String Subject) […]

SOAP-Client Version 3.8.1/4.0.2

Das Bundle mit der Dokumentation und der Java-Client-Bibliothek der SOAP-Schnittstelle der DFN-PKI steht nun in neuen Versionen bereit. Wesentliche Neuerung ist eine interne Verbesserung beim Aufbau von TLS-Verbindungen. In früheren Versionen konnte es in Abhängigkeit von der Java-Version zu Problemen kommen, wenn der Server nur TLS >= 1.2 unterstützte. Für JDK >=11: https://info.pca.dfn.de/doc/soapclient-bundle-4.0.2.tar.gz Für JDK […]

SOAP-Client Version 3.8/4.0.1

Das Bundle mit der Dokumentation und der Java-Client-Bibliothek der SOAP-Schnittstelle der DFN-PKI steht nun in neuen Versionen bereit. Wesentliche Neuerung ist die Verwendung von BouncyCastle 1.60. Für JDK 11: https://info.pca.dfn.de/doc/soapclient-bundle-4.0.1.tar.gz Für JDK 8 (Umstieg auf JDK 11 empfohlen): https://info.pca.dfn.de/doc/soapclient-bundle-3.8.tar.gz Für Entwicklungsarbeiten empfehlen wir dringend, dass Sie unsere Test-PKI verwenden. Sprechen Sie uns bitte an, um […]

Mögliche weitere Reduzierung der Laufzeit von Serverzertifikaten

Nach Presseberichten aus der letzten Woche (z.B. https://www.golem.de/news/apple-safari-soll-nur-noch-einjaehrige-tls-zertifikate-akzeptieren-2002-146779.html) hat Apple auf einem Meeting des CA/Browser Forums angekündigt, dass seine Software (wie z.B. Safari, iOS oder macOS) ab 1. September 2020 neu ausgestellte Serverzertifikate nur noch dann akzeptiert, wenn deren Laufzeit kleiner oder gleich 398 Tagen ist. Damit setzt sich der Trend zu kürzeren Laufzeiten und […]

Let’s DFN-PKI!

Häufig wird in letzter Zeit die Frage nach dem Verhältnis der DFN-PKI zu Let’s Encrypt oder nach der Unterstützung des ACME-Protokolls gestellt. Es muss hierbei beachtet werden, was genau gemeint ist: Häufig wird ACME und Let’s Encrypt in einen Topf geworfen, was die Beantwortung der Frage nicht einfacher macht: Soll die DFN-PKI wirklich ACME sprechen […]

RFC 6844 Certification Authority Authorization (CAA)

Seit Anfang 2013 gibt es den RFC 6844 „Certification Authority Authorization“ (CAA). CAA spezifiziert einen gleichnamigen Resource Record zur Ablage im DNS, mit dem ein Domain-Inhaber festlegen kann, welche Zertifizierungsstelle (CA) für seine Domain Zertifikate ausgeben darf. Das CA/Browser-Forum verpflichtet mit Ballot 187 jede CA, ab spätestens September 2017 diese CAA Resource Records auszuwerten und […]

Einführung der neuen Generation der DFN-PKI

Die bestehende DFN-PKI wird seit 2007 mit dem Wurzelzertifikat „Deutsche Telekom Root CA 2“ betrieben, das bis zum 9. Juli 2019 gültig ist. In dieser Zertifizierungshierarchie kann es kein Zertifikat, ob für Server oder für Nutzer, mit längerer Gültigkeit geben. Für den Betrieb über den 9. Juli 2019 hinaus bietet die DFN-PKI ein neues Wurzelzertifikat […]