Archiv der Kategorie: Uncategorized

Version 5 der Zertifizierungsrichtlinie der DFN-PKI im Sicherheitsniveau „Global“

Zum 31.01.2020 tritt die Zertifizierungsrichtlinie 5 im Sicherheitsniveau „Global“ in Kraft. Änderungen in Version 5:

Titel und Fußzeile: Versionsnummer und Datum.
1.2: OIDs
1.3.1: Liste der Root-Zertifikate und ausstellenden CAs aktualisiert
2.2: Liste der Root-Zertifikate aktualisiert
3.2.3: Validierung von Domains von E-Mail-Adressen beschrieben

Die Version 5 der Erklärung zum Zertifizierungsbetrieb für das Sicherheitsniveau „Global“, Datum des Inkrafttretens ebenfalls 31.01.2020, beinhaltet folgende Änderungen:

Titel und Fußzeile: Versionsnummer und Datum
1.2: OIDs
6.6.2: Intervall der Konfigurationsüberprüfung

Die neuen Dokumente finden Sie unter den folgenden URLs:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V5.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V5.pdf

(Jürgen Brauckmann, 17.01.2020)

ETSI-Audit 2019 abgeschlossen

Das Audit der DFN-PKI nach ETSI EN 319 411-1 wurde bereits Mitte Dezember erfolgreich abgeschlossen. Die zugehörige Zertifizierungsurkunde ist vom TÜViT veröffentlicht: https://www.tuvit.de/fileadmin/Content/TUV_IT/zertifikate/de/67122UD_s.pdf

Auch 2019 fanden wieder angekündigte und vorbereitete Besuche bei Teilnehmern der DFN-PKI statt, bei der der Teilnehmerservice stichprobenartig untersucht wurde. Wir bedanken uns bei allen Einrichtungen, die wie auch in den letzten Jahren mit ihrer guten Arbeit ein erfolgreiches Audit der DFN-PKI ermöglicht haben!

(Jürgen Brauckmann, 17.01.2020)

Java RA-Oberfläche Version 3.2.1

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.2.1 hier herunterladen:

guira-3.2.1.zip

guira-3.2.1.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Version 3.2.1 (10.12.2019)

Bugfix BouncyCastle class cast

Systemvoraussetzungen

OpenJDK ab Version 11
Oracle Java ab Version 11 kann auch verwendet werden. Bitte beachten Sie hierzu:
- In unseren Abnahmetests verwenden wir OpenJDK
- Bitte berücksichtigen Sie die geänderten Lizenzbedingungen für den nicht-privaten Einsatz von Oracle.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Hinweise zum Bezug von Java finden Sie unter: https://blog.pki.dfn.de/2019/05/bezugsquellen-fuer-java-zum-betrieb-der-ra-oberflaeche

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

(Jürgen Brauckmann, 10.12.2019)

Java RA-Oberfläche Version 3.2

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.2 hier herunterladen:

guira-3.2.zip

guira-3.2.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Version 3.2 (04.12.2019)

Workflow zum Beantragen von E-Mail-Domains aktualisiert: E-Mail-Domains müssen nun wie bereits Server-Domains per Challenge-E-Mail validiert werden.

Systemvoraussetzungen

OpenJDK ab Version 11
Oracle Java ab Version 11 kann auch verwendet werden. Bitte beachten Sie hierzu:
- In unseren Abnahmetests verwenden wir OpenJDK
- Bitte berücksichtigen Sie die geänderten Lizenzbedingungen für den nicht-privaten Einsatz von Oracle.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Hinweise zum Bezug von Java finden Sie unter: https://blog.pki.dfn.de/2019/05/bezugsquellen-fuer-java-zum-betrieb-der-ra-oberflaeche

Konfiguration

(Jürgen Brauckmann, 09.12.2019)

Adressänderung für Briefe an das DFN-PKI Team in Hamburg

Die DFN-CERT Services GmbH hat neue Räumlichkeiten bezogen. Briefe und Formulare für das DFN-PKI Team in Hamburg senden Sie bitte ab sofort an unsere neue Adresse:

DFN-CERT Services GmbH
DFN-PKI
Nagelsweg 41
20097 Hamburg

(rkm, 15.11.2019)

Java RA-Oberfläche Version 3.1.1

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.1.1 hier herunterladen:

guira-3.1.1.zip

guira-3.1.1.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Version 3.1.1 (29.10.2019)

Anpassung an aktuelle TLS-Cipher

Systemvoraussetzungen

OpenJDK ab Version 11
Oracle Java ab Version 11 kann auch verwendet werden. Bitte beachten Sie hierzu:
- In unseren Abnahmetests verwenden wir OpenJDK
- Bitte berücksichtigen Sie die geänderten Lizenzbedingungen für den nicht-privaten Einsatz von Oracle.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Konfiguration

(Jürgen Brauckmann, 07.11.2019)

SOAP-Client Version 3.8.1/4.0.2

Das Bundle mit der Dokumentation und der Java-Client-Bibliothek der SOAP-Schnittstelle der DFN-PKI steht nun in neuen Versionen bereit. Wesentliche Neuerung ist eine interne Verbesserung beim Aufbau von TLS-Verbindungen. In früheren Versionen konnte es in Abhängigkeit von der Java-Version zu Problemen kommen, wenn der Server nur TLS >= 1.2 unterstützte.

Für JDK >=11: https://info.pca.dfn.de/doc/soapclient-bundle-4.0.2.tar.gz

Für JDK 8 (Umstieg auf JDK 11 empfohlen): https://info.pca.dfn.de/doc/soapclient-bundle-3.8.1.tar.gz

Für Entwicklungsarbeiten empfehlen wir dringend, dass Sie unsere Test-PKI verwenden. Sprechen Sie uns bitte an, um einen Zugang zu erhalten. Kontakt: mailto:dfnpca@dfn-cert.de

Bitte beachten Sie, dass Sie bei der Implementierung von eigenen Systemen unbedingt die Vorgaben der Zertifizierungsrichtlinie und des Dokumentes Pflichten der Teilnehmer einhalten müssen. Bitte besprechen Sie Ihr Projekt vorab mit uns. Kontakt: mailto:dfnpca@dfn-cert.de

(Jürgen Brauckmann, 07.11.2019)

Änderungen an Browsern: Verstecken von Extended Validation und Abschaltung von TLS < 1.2

Extended Validation

Nach dem Safari und Edge vorgelegt haben, werden auch in Chrome 77 (Release Mitte September 2019) und Firefox 70 (Mitte Oktober 2019) die Hinweise auf Extended Validation Zertifikate aus der Adresszeile verschwinden und in Page Info o.ä. Stellen versteckt werden.

Ankündigungen mit Screenshots:

https://groups.google.com/a/chromium.org/forum/#!topic/security-dev/h1bTcoTpfeI

https://groups.google.com/forum/#!topic/firefox-dev/6wAg_PpnlY4

Abschaltung alter TLS-Versionen

Ab Januar 2020 werden alle Browser-Hersteller Updates herausbringen, in denen der Support für TLS 1.0 und 1.1 entfernt wird. Sollten Sie Server einsetzen, die noch kein TLS 1.2 unterstützen, müssen Sie, je nach Nutzung des Servers, tätig werden. Grundsätzlich sollten alle Server-Betriebssysteme, die in 2020 noch Support haben, TLS 1.2 unterstützen. Es empfiehlt sich aber trotzdem, insbesondere ältere Installationen mit Werkzeugen wie https://ssllabs.com/ssltest oder https://testssl.sh zu überprüfen, ob TLS 1.2 wirklich konfiguriert ist.

https://blog.mozilla.org/security/2018/10/15/removing-old-versions-of-tls

https://security.googleblog.com/2018/10/modernizing-transport-security.html

https://blogs.windows.com/msedgedev/2018/10/15/modernizing-tls-edge-ie11/

https://webkit.org/blog/8462/deprecation-of-legacy-tls-1-0-and-1-1-versions/

(Jürgen Brauckmann, 13.08.2019)

Konfiguration von TLS-Servern: Aktueller Cipher-String 2019

Bekanntermaßen ist die Konfiguration der Crypto-Parameter von TLS-Servern eine kontinuierliche Aufgabe, siehe hierzu auch den ausführlichen Artikel Konfiguration von TLS-Servern: Ständige Herausforderung.

Im Vergleich zu unserem letzten Cipher-String von Ende 2017 sind die folgenden Änderungen sinnvoll:

TLS 1.0 und 1.1 abschalten
RSA für den reinen Schlüsselaustausch deaktivieren
CBC deaktivieren

Am zweckmäßigsten scheint inzwischen eine kurze Positiv-Liste mit expliziter Angabe der unterstützten Cipher zu sein. Die DFN-PKI wird auf ihren Servern im Laufe von 2019 die folgende Konfiguration aktivieren:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On

SSLCipherSuite 'ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256'

Zu einem so konfigurierten Server können die folgenden veralteten Clients keine Verbindung mehr aufnehmen: Safari <= 8, WinPhone 8.1, IE 8-10 auf Win7, Android <= 4.3, Java <= 7.

Bitte beachten Sie auch die weiteren Konfigurations-Empfehlungen aus dem oben genannten Artikel, insbesondere die Anleitung für individuelle Diffie-Hellman-Parameter.

(Jürgen Brauckmann, 07.08.2019)

Java RA-Oberfläche Version 3.1

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.1 hier herunterladen:

guira-3.1.zip

guira-3.1 .zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Version 3.1 (30.07.2019)

Fehler beim Laden des PKCS#11-Providers im Dialog ‚Einstellungen‘ behoben.
Fehler bei der RFC3447-Kodierung der Selbst-Signatur von über PKCS#11 erzeugten Requests behoben

Systemvoraussetzungen

OpenJDK ab Version 11
Oracle Java ab Version 11 kann auch verwendet werden. Bitte beachten Sie hierzu:
- In unseren Abnahmetests verwenden wir OpenJDK
- Bitte berücksichtigen Sie die geänderten Lizenzbedingungen für den nicht-privaten Einsatz von Oracle.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Konfiguration

(Jürgen Brauckmann, 30.07.2019)