Archiv des Autors: Juergen Brauckmann

Zum 31.07.2019: Umstellung des Verfahrens zur Validierung von IP-Adressen

Das CA/Browser-Forum hat im Februar 2019 mit Ballot SC7 die Verfahren zur Validierung von IP-Adressen, die in Zertifikate aufgenommen werden sollen, geändert: https://cabforum.org/2019/02/09/ballot-sc7-update-ip-address-validation-methods/

Die DFN-PKI hat diese Änderung mit der Version 4 der Zertifizierungsrichtlinie umgesetzt. Konkret bedeutet dies:

  • Bestehende Zertifikate mit IP-Adressen bleiben unverändert gültig.
  • Ab dem 31.07.2019 müssen IP-Adressen erneut durch die DFN-PCA validiert werden, wenn sie in neue Zertifikate aufgenommen werden sollen. Die Validierungen sind 825 Tage für weitere Zertifikate gültig.
  • Wenn Sie eine Fehlermeldung „Die IP-Adresse w.x.y.z  ist nicht erlaubt“ beim Hochladen oder Editieren eines Zertifikatantrages erhalten, wenden Sie sich bitte an mailto:dfnpca@dfn-cert.de, um das Verfahren zur Freischaltung des IP-Adress-Blocks zu starten.

Vorab sollten Sie genau prüfen, ob Sie wirklich ein Zertifikat mit einer IP-Adresse benötigen. Wird Ihr Dienst wirklich direkt per IP-Adresse angesprochen? Falls nicht, verzichten Sie auf die IP-Adresse im Zertifikat.

Achtung: Der Validierungsprozess und die Freischaltung beinhalten einige manuelle Schritte auch auf unserer Seite. Daher funktionieren diese nicht so kurzfristig und Self-Service-artig wie bei der Domain-Validierung.

(Jürgen Brauckmann, 25.04.2019)

Version 4 der Zertifizierungsrichtlinie der DFN-PKI im Sicherheitsniveau „Global“

Zum 15.05.2019 tritt die Zertifizierungsrichtlinie 4 im Sicherheitsniveau „Global“ in Kraft. Änderungen in Version 4:

  • Titel und Fußzeile: Versionsnummer und Datum. Versionierung ab dieser Version ohne „Minor Version“
  • 1.2: OIDs
  • 3.2.2: Methoden zur IP-Adress-Validierung an Baseline Requirements 1.6.4 angepasst
  • 4.1.2: Klarstellung, dass pers. ID nur für Zertifikate f. nat. Personen durchgeführt wird (Dies ist keine inhaltliche Änderung, nur eine Präzisierung)

Die Versionsnummer des begleitenden Dokumentes „Erklärung zum Zertifizierungsbetrieb“ für das Sicherheitsniveau „Global“ wurde ebenfalls auf 4 hochgezählt. Inhaltlich wurden keine Änderungen vorgenommen. Die neuen Dokumente finden Sie unter den folgenden URLs:

     https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V4.pdf

     https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V4.pdf

Mit Änderungsmarkierungen:

     https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V4_redline.pdf

     https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V4_redline.pdf

(Jürgen Brauckmann, 25.04.2019)

Java RA-Oberfläche Version 3.0.2

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.0.2 hier herunterladen:

guira-3.0.2.zip

guira-3.0.2.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Version 3.0.2 (16.04.2019)

  • Fehlerbehandlung im Passwort-Dialog verbessert.
  • Fehler beim Aufruf von ‚Datei->Beenden‘ behoben.
  • Fehler beim Exportieren von Zertifikaten behoben.
  • Korrektur des Windows-Startskriptes guira-windows.bat.

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Oracle Java ab Version 11 kann auch verwendet werden. Bitte beachten Sie hierzu:
    • In unseren Abnahmetests verwenden wir OpenJDK
    • Bitte berücksichtigen Sie die geänderten Lizenzbedingungen für den nicht-privaten Einsatz von Oracle.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

Java Web Start

Oracle hat ab Version 11 Java Web Start entfernt. Für Teilnehmer, die noch Java 8 einsetzen, stellen wir weiterhin bis voraussichtlich Mitte 2019 eine Java Web Start-Version der RA-Oberfläche zur Verfügung. Achtung: Die Java Web Start-Version erhält nur noch Sicherheitsupdates und keine Ergänzungen der Funktionalität!

https://pki.pca.dfn.de/guira/guira.jnlp

(Jürgen Brauckmann, 24.04.2019)

SOAP-Client Version 3.8/4.0.1

Das Bundle mit der Dokumentation und der Java-Client-Bibliothek der SOAP-Schnittstelle der DFN-PKI steht nun in neuen Versionen bereit. Wesentliche Neuerung ist die Verwendung von BouncyCastle 1.60.

Für JDK 11: https://info.pca.dfn.de/doc/soapclient-bundle-4.0.1.tar.gz

Für JDK 8 (Umstieg auf JDK 11 empfohlen): https://info.pca.dfn.de/doc/soapclient-bundle-3.8.tar.gz

Für Entwicklungsarbeiten empfehlen wir dringend, dass Sie unsere Test-PKI verwenden. Sprechen Sie uns bitte an, um einen Zugang zu erhalten. Kontakt: mailto:dfnpca@dfn-cert.de

Bitte beachten Sie, dass Sie bei der Implementierung von eigenen Systemen unbedingt die Vorgaben der Zertifizierungsrichtlinie und des Dokumentes Pflichten der Teilnehmer einhalten müssen. Bitte besprechen Sie Ihr Projekt vorab mit uns. Kontakt: mailto:dfnpca@dfn-cert.de

(Jürgen Brauckmann, 03.04.2019)

E-Mail-Verteilerliste dfnpki-d

Wir haben nun auf listserv.dfn.de die E-Mail-Verteilerliste dfnpki-d@listserv.dfn.de eingerichtet. Die unmoderierte Liste soll den Austausch unter den Teilnehmern an der DFN-PKI befördern und die Diskussion von Problemen und die Verbreitung von Lösungsvorschlägen ermöglichen.

Eine Anmeldung ist für Teilnehmer möglich unter:

https://www.listserv.dfn.de/sympa/info/dfnpki-d

(jbr, 19.03.2019)

Version 3.9 der Zertifizierungsrichtlinie der DFN-PKI im Sicherheitsniveau „Global“

Zum 14.02.2019 tritt die Zertifizierungsrichtlinie 3.9 im Sicherheitsniveau „Global“ in Kraft.

Änderungen in Version 3.9:

  • 1.1: Policy NCP
  • 2.2: Link-Umbruch korrigiert
  • 3.2.2 1: Alte Domainvalidierungsmethoden entfernt (WhoIs, Domainautorisierungssschreiben)
  • 3.2.2 4: Reservierte IPV6-Adressen
  • 3.2.3: Alternative zu 5 Stellen PA-Nummer (nur!) für eID
  • 4.2.3 Bearbeitungsdauern: No Stipulation aufgelöst
  • 4.4.2: Zwangsveröffentlichung von Server-Zertifikaten über CTLog
  • 4.9.11: No Stipulation aufgelöst
  • 5.7.1: Schwachstellen nach 48 Stunden behandeln
  • 5.7.1: Information von Betroffenen nach Sicherheitsvorfällen
  • 6.8: No Stipulation aufgelöst
  • 7.1: Dokumentation zu 64 Bit Zufallszahlen in SN statt 20 korrigiert
  • 7.2.2: No Stipulation aufgelöst
  • 9.16.2: No Stipulation aufgelöst

Gleichzeitig ändert sich das begleitende Dokument „Erklärung zum Zertifizierungsbetrieb“ für das Sicherheitsniveau „Global“. Die neue Versionsnummer ist ebenfalls 3.9, die Änderungen sind:

  • 5.3.5: No Stipulation aufgelöst
  • 6.6.3: No Stipulation aufgelöst; umbenannt, um dem RFC-Template zu entsprechen

Die neuen Dokumente finden Sie unter den folgenden URLs:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.9.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V3.9.pdf

Mit Änderungsmarkierungen:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.9_redline.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V3.9_redline.pdf

(jbr, 28.01.2019)

ETSI-Audit 2018 abgeschlossen

Das Audit der DFN-PKI nach ETSI EN 319 411-1 wurde auch 2018 mit der Ausstellung der Zertifizierungsurkunde durch TÜViT erfolgreich abgeschlossen: https://www.tuvit.de/fileadmin/Content/TUV_IT/zertifikate/de/67122UD_s.pdf

Wie jedes Jahr fanden angekündigte und vorbereitete Besuche bei Teilnehmern der DFN-PKI statt, bei der die Arbeit des Teilnehmerservice stichprobenartig untersucht wurde. Wir bedanken uns bei allen Einrichtungen, die ein erfolgreiches Audit der DFN-PKI  ermöglicht haben!

(jbr, 08.01.2019)

Java RA-Oberfläche Version 3.0.1

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.0.1 hier herunterladen:

guira-3.0.1.zip

guira-3.0.1.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Version 3.0.1 (12.12.2018)

  • Kommandozeilenparameter ‚dfnpki2:dfn-ca-global-g2‘ im Start-Skript ergänzt

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Oracle Java ab Version 11 kann auch verwendet werden. Bitte beachten Sie hierzu:
    • In unseren Abnahmetests verwenden wir OpenJDK
    • Bitte berücksichtigen Sie die geänderten Lizenzbedingungen für den nicht-privaten Einsatz von Oracle.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

Java Web Start

Oracle hat ab Version 11 Java Web Start entfernt. Für Teilnehmer, die noch Java 8 einsetzen, stellen wir weiterhin bis voraussichtlich Mitte 2019 eine Java Web Start-Version der RA-Oberfläche zur Verfügung. Achtung: Die Java Web Start-Version erhält nur noch Sicherheitsupdates und keine Ergänzungen der Funktionalität!

https://pki.pca.dfn.de/guira/guira.jnlp

Bitte beachten Sie, dass Java 8 am Ende seines Lebenszyklus angekommen ist und ab Anfang 2019 keine öffentlichen Updates mehr erhält.

 

(jbr, 13.12.2018)

Java RA-Oberfläche Version 3.0

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.0 hier herunterladen:

guira-3.0.zip

guira-3.0.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Version 3.0 (28.11.2018)

  • Anpassung an OpenJDK11
  • Aktualisierung der BouncyCastle Version auf 1.60.

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Oracle Java ab Version 11 kann auch verwendet werden. Bitte beachten Sie hierzu:
    • In unseren Abnahmetests verwenden wir OpenJDK
    • Bitte berücksichtigen Sie die geänderten Lizenzbedingungen für den nicht-privaten Einsatz von Oracle.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

Java Web Start

Oracle hat ab Version 11 Java Web Start entfernt. Für Teilnehmer, die noch Java 8 einsetzen, stellen wir weiterhin bis voraussichtlich Mitte 2019 eine Java Web Start-Version der RA-Oberfläche zur Verfügung. Achtung: Die Java Web Start-Version erhält nur noch Sicherheitsupdates und keine Ergänzungen der Funktionalität!

https://pki.pca.dfn.de/guira/guira.jnlp

Bitte beachten Sie, dass Java 8 am Ende seines Lebenszyklus angekommen ist und ab Anfang 2019 keine öffentlichen Updates mehr erhält.

 

(jbr, 12.12.2018)

Ablauf der alten Generation 1 der DFN-PKI Global

[Update 22.03.2019: Wichtig: SHA-1-CA-Zertifikate müssen komplett entfernt werden]

Die CA-Zertifikate der ersten Generation der DFN-PKI Global laufen nun ab. Zuerst sind die in 2007 erstellten, noch mit SHA-1 signierten CA-Zertifikate betroffen.

Achtung: Für diese alten CA-Zertifikate, die im Betrieb längst durch ihre mit SHA-2 signierten Pendants ersetzt worden sein sollten, werden von uns keine Zertifikatablaufwarnmails versandt.

Achtung: Wenn Sie auf Servern trotz der in den Auslieferungsmails der DFN-PKI mitgelieferten Kette noch eine Zwischenzertifizierungskette mit den alten SHA-1 CA-Zertifikaten beibehalten haben, kann es Ihnen passieren, dass diese Kette eher abläuft als das Serverzertifikat.

[Update 22.03.] Es kann sogar dann zu Problemen kommen, wenn neben den alten SHA-1 CA-Zertifikaten eine neue, gültige SHA-2-Kette vorhanden ist, da Serversoftware unter Umständen alte, ungültige Zertifikate bevorzugt (unlogischerweise).

Hierdurch werden dann unter Umständen Clients schlagartig nicht mehr auf die betroffenen Server zugreifen können. Betroffen sind alle Arten von Anwendungen, z.B. auch openvpn oder jabber.

Server unter Microsoft Windows sollten nicht betroffen sein, da hier die SHA-1 signierten CA-Zertifikate aufgrund von Policy-Entscheidungen von Microsoft sowieso nicht mehr verwendet werden können. Webserver sollten ebenfalls nicht betroffen sein, da Webbrowser Zertifizierungsketten mit SHA-1 CA-Zertifikaten schon seit längerem ablehnen.

Problembeschreibung

Die mit SHA-1 signierten CA-Zertifikate der DFN-PKI waren in 2007 mit einer Laufzeit von exakt 12 Jahren ausgestellt worden, wodurch sie über die erste Hälfte des Jahres 2019 verteilt ablaufen.

Im Jahr 2014 trafen die Browserhersteller die Entscheidung, ab Anfang 2017 mit SHA-1 signierte Zertifikate, auch von CAs, nicht mehr zu akzeptieren. Daraufhin wurden neue CA-Zertifikate mit SHA-2 ausgestellt. Diese erhielten die maximale Lebensdauer bis zum Ablauf der Root-Zertifikate.

Dadurch haben die SHA-2 CA-Zertifikate eine um teilweise wenige Monate längere Laufzeit als die zugehörigen SHA-1 CA-Zertifikate. Davon ausgestellte Serverzertifikate können also eine Laufzeit haben, die über die Laufzeit der SHA-1 Version hinausragt.

Im Beispiel der DFN-CERT Services GmbH CA:

SHA-1 CA-Zertifikat:
14.02.2007 --------------------------------------> 13.02.2019

SHA-2 CA-Zertifikat:
               25.03.2014 -----------------------------------------> 30.06.2019

Serverzertifikat beispiel.dfn-cert.de:
                            27.08.2017 ----------------------------> 30.06.2019

Wurde nun entgegen der Anleitungen in der DFN-PKI beim Austausch eines Serverzertifikates die Zertifizierungskette nicht mit ausgetauscht, fehlt möglicherweise das SHA-2 CA-Zertifikat. Dadurch erhalten Clients unter Umständen eine nicht konsistente Kette mit einem abgelaufenen SHA-1 CA-Zertifikat und einem noch gültigen Serverzertifikat.

Auch das PCA-Zertifikat (CN = DFN-Verein PCA Global – G01) ist mit wenigen Tagen Versatz betroffen: Die SHA-1-Version läuft am 30.06.2019 ab, die SHA-2-Version am 09.07.2019.

Ablaufdaten

Die alten SHA-1 CA-Zertifikate laufen abhängig vom Ausstellungsdatum gestaffelt über das Jahr 2019 ab. Erstes Ablaufdatum ist der 2. Januar („CN=DFN-Verein CA Services“), letztes Ablaufdatum ist der 30. Juni.

Die SHA-2 CA-Zertifikate der DFN-PKI Global G1 laufen zwischen dem 30. Juni und dem 9. Juli 2019 ab.

Konkrete Daten können Sie der folgenden Tabelle entnehmen:
Sortiert_Ablaufdaten_DFNPKI_Global_IssueingCAs

Maßnahmen

  • Wenn Sie auf Ihren Servern bereits Zertifikate aus der neuen DFN-PKI Global G2 einsetzen, müssen Sie nichts weiter prüfen.
  • Wenn Sie noch Zertifikate aus der alten DFN-PKI Global G1 einsetzen, so sollten Sie prüfen, ob Sie die korrekte SHA-2 Zwischenzertifizierungskette konfiguriert haben. Außer dem Root-Zertifikat „Deutsche Telekom Root CA 2“ müssen alle konfigurierten CA-Zertifikate mit SHA-2 signiert sein.
    [Update 22.03.] Auch Reste der alten SHA-1-CA-Zertifikate neben der gültigen SHA-2-Kette können zu Problemen führen!
    Leider können wir hier nur eine abstrakte Anleitung geben, da Ihre individuellen CA-Zertifikate betroffen sind. Zur Prüfung gehen Sie generell wie folgt vor:

  • Alternativ können Sie die Gelegenheit nutzen, gleich ein neues, aktuelles Serverzertifikat aus der neuen Generation 2 der DFN-PKI zu erzeugen und zu installieren.
  • Es ist unwahrscheinlich, dass Server betroffen sind, die ihr erstes Zertifikat nach 2014 bekommen haben, da dann der Rollout der SHA-2 CA-Zertifikate abgeschlossen war.
  • Hinweis: Wie im Blogartikel „Nächste Phase der SHA-1-Abschaltung“ geschildert ist das Root-Zertifikat der Generation 1 der DFN-PKI „Deutsche Telekom Root CA 2“ mit SHA-1 signiert. Dies ist nach wie vor richtig und kein Grund für weitere Aktionen.

Diese Maßnahmen sind nur erforderlich, wenn bei der Installation eines neuen Serverzertifikats aus der DFN-PKI Global G1 nicht wie in der Anleitung beschrieben die SHA-2 Zwischenzertifizierungskette installiert wurde.

Für Rückfragen melden Sie sich bitte gerne unter mailto:dfnpca@dfn-cert.de

(jbr, 07.12.2018)