Java RA-Oberfläche Version 3.2

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.2 hier herunterladen:

guira-3.2.zip

guira-3.2.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Version 3.2 (04.12.2019)

  • Workflow zum Beantragen von E-Mail-Domains aktualisiert: E-Mail-Domains müssen nun wie bereits Server-Domains per Challenge-E-Mail validiert werden.

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Oracle Java ab Version 11 kann auch verwendet werden. Bitte beachten Sie hierzu:
    • In unseren Abnahmetests verwenden wir OpenJDK
    • Bitte berücksichtigen Sie die geänderten Lizenzbedingungen für den nicht-privaten Einsatz von Oracle.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Hinweise zum Bezug von Java finden Sie unter: https://blog.pki.dfn.de/2019/05/bezugsquellen-fuer-java-zum-betrieb-der-ra-oberflaeche

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

(Jürgen Brauckmann, 09.12.2019)

Java RA-Oberfläche Version 3.1.1

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.1.1 hier herunterladen:

guira-3.1.1.zip

guira-3.1.1.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Version 3.1.1 (29.10.2019)

  • Anpassung an aktuelle TLS-Cipher

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Oracle Java ab Version 11 kann auch verwendet werden. Bitte beachten Sie hierzu:
    • In unseren Abnahmetests verwenden wir OpenJDK
    • Bitte berücksichtigen Sie die geänderten Lizenzbedingungen für den nicht-privaten Einsatz von Oracle.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

(Jürgen Brauckmann, 07.11.2019)

SOAP-Client Version 3.8.1/4.0.2

Das Bundle mit der Dokumentation und der Java-Client-Bibliothek der SOAP-Schnittstelle der DFN-PKI steht nun in neuen Versionen bereit. Wesentliche Neuerung ist eine interne Verbesserung beim Aufbau von TLS-Verbindungen. In früheren Versionen konnte es in Abhängigkeit von der Java-Version zu Problemen kommen, wenn der Server nur TLS >= 1.2 unterstützte.

Für JDK >=11: https://info.pca.dfn.de/doc/soapclient-bundle-4.0.2.tar.gz

Für JDK 8 (Umstieg auf JDK 11 empfohlen): https://info.pca.dfn.de/doc/soapclient-bundle-3.8.1.tar.gz

Für Entwicklungsarbeiten empfehlen wir dringend, dass Sie unsere Test-PKI verwenden. Sprechen Sie uns bitte an, um einen Zugang zu erhalten. Kontakt: mailto:dfnpca@dfn-cert.de

Bitte beachten Sie, dass Sie bei der Implementierung von eigenen Systemen unbedingt die Vorgaben der Zertifizierungsrichtlinie und des Dokumentes Pflichten der Teilnehmer einhalten müssen. Bitte besprechen Sie Ihr Projekt vorab mit uns. Kontakt: mailto:dfnpca@dfn-cert.de

(Jürgen Brauckmann, 07.11.2019)

Änderungen an Browsern: Verstecken von Extended Validation und Abschaltung von TLS < 1.2

Extended Validation

Nach dem Safari und Edge vorgelegt haben, werden auch in Chrome 77 (Release Mitte September 2019) und Firefox 70 (Mitte Oktober 2019) die  Hinweise auf Extended Validation Zertifikate aus der Adresszeile verschwinden und in Page Info o.ä. Stellen versteckt werden.

Ankündigungen mit Screenshots:

https://groups.google.com/a/chromium.org/forum/#!topic/security-dev/h1bTcoTpfeI

https://groups.google.com/forum/#!topic/firefox-dev/6wAg_PpnlY4

Abschaltung alter TLS-Versionen

Ab Januar 2020 werden alle Browser-Hersteller Updates herausbringen, in denen der Support für TLS 1.0 und 1.1 entfernt wird. Sollten Sie Server einsetzen, die noch kein TLS 1.2 unterstützen, müssen Sie, je nach Nutzung des Servers, tätig werden. Grundsätzlich sollten alle Server-Betriebssysteme, die in 2020 noch Support haben, TLS 1.2 unterstützen. Es empfiehlt sich aber trotzdem, insbesondere ältere Installationen mit Werkzeugen wie https://ssllabs.com/ssltest oder https://testssl.sh zu überprüfen, ob TLS 1.2 wirklich konfiguriert ist.

https://blog.mozilla.org/security/2018/10/15/removing-old-versions-of-tls

https://security.googleblog.com/2018/10/modernizing-transport-security.html

https://blogs.windows.com/msedgedev/2018/10/15/modernizing-tls-edge-ie11/

https://webkit.org/blog/8462/deprecation-of-legacy-tls-1-0-and-1-1-versions/

 

(Jürgen Brauckmann, 13.08.2019)

Konfiguration von TLS-Servern: Aktueller Cipher-String 2019

Bekanntermaßen ist die Konfiguration der Crypto-Parameter von TLS-Servern  eine kontinuierliche Aufgabe, siehe hierzu auch den ausführlichen Artikel Konfiguration von TLS-Servern: Ständige Herausforderung.

Im Vergleich zu unserem letzten Cipher-String von Ende 2017 sind die folgenden Änderungen sinnvoll:

  • TLS 1.0 und 1.1 abschalten
  • RSA für den reinen Schlüsselaustausch deaktivieren
  • CBC deaktivieren

Am zweckmäßigsten scheint inzwischen eine kurze Positiv-Liste mit expliziter Angabe der unterstützten Cipher zu sein. Die DFN-PKI wird auf ihren Servern im Laufe von 2019 die folgende Konfiguration aktivieren:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On

SSLCipherSuite 'ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256'

Zu einem so konfigurierten Server können die folgenden veralteten Clients keine Verbindung mehr aufnehmen: Safari <= 8, WinPhone 8.1, IE 8-10 auf Win7, Android <= 4.3, Java <= 7.

Bitte beachten Sie auch die weiteren Konfigurations-Empfehlungen aus dem oben genannten Artikel, insbesondere die Anleitung für individuelle Diffie-Hellman-Parameter.

(Jürgen Brauckmann, 07.08.2019)

Java RA-Oberfläche Version 3.1

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.1 hier herunterladen:

guira-3.1.zip

guira-3.1.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Version 3.1 (30.07.2019)

  • Fehler beim Laden des PKCS#11-Providers im Dialog ‚Einstellungen‘ behoben.
  • Fehler bei der RFC3447-Kodierung der Selbst-Signatur von über PKCS#11 erzeugten Requests behoben

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Oracle Java ab Version 11 kann auch verwendet werden. Bitte beachten Sie hierzu:
    • In unseren Abnahmetests verwenden wir OpenJDK
    • Bitte berücksichtigen Sie die geänderten Lizenzbedingungen für den nicht-privaten Einsatz von Oracle.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

(Jürgen Brauckmann, 30.07.2019)

Bezugsquellen für Java zum Betrieb der RA-Oberfläche

[Ergänzung 16.05.2019: Hinweise zu Updates von OpenJDK]
[Aktualisierung 19.02.2021: Lizenzpflichtige Oracle JDK Builds entfernt]

Mit Stand 02/2021 sind folgende Java-Varianten zur Installation auf dem eigenen Desktop zur Nutzung mit der Java RA-Oberfläche verfügbar:

  • Frei verwendbare OpenJDK Builds von Oracle. Diese Builds folgen im Support-Zeitraum exakt dem Release-Zyklus von Java. Daher gibt es für jede Java Version nur 6 Monate Support. Danach muss das nächste Major-Release installiert werden, um weiterhin Security Updates zu erhalten. Quelle: https://jdk.java.net/
  • Java Builds von Drittanbietern, z.B. AdoptOpenJDK, Azul oder die bei diversen Linux-Distributionen enthaltenen Java Builds. Naturgemäß gibt es hier unterschiedliche Lizenzen und Support-Zeiträume.

Die Java RA-Oberfläche der DFN-PKI wird für das jeweils aktuelle frei verwendbare OpenJDK Build von Oracle, das den Zustand „General Availability“ (GA) erreicht hat, erstellt und getestet.

Die Java RA-Oberfläche benötigt aktuell mindestens Java 11.

Die aktuelle GA-Version des OpenJDK Builds von Oracle erhalten Sie unter https://jdk.java.net/  oder https://openjdk.java.net/projects/jdk/ (Hinweis: Wählen Sie keine Version, die mit „In Development“ markiert ist, sondern nur die mit „GA“ gekennzeichneten Downloads).

Ergänzung 16.5.2019: Achtung: Die frei verfügbaren OpenJDK Builds von Oracle haben keinen automatischen Update-Mechanismus. Sie werden auch nicht auf neue Versionen des OpenJDK hingewiesen. Sie müssen selbst für die rechtzeitige Aktualisierung sorgen!

(Jürgen Brauckmann, 15.05.2019)

Zum 31.07.2019: Umstellung des Verfahrens zur Validierung von IP-Adressen

Das CA/Browser-Forum hat im Februar 2019 mit Ballot SC7 die Verfahren zur Validierung von IP-Adressen, die in Zertifikate aufgenommen werden sollen, geändert: https://cabforum.org/2019/02/09/ballot-sc7-update-ip-address-validation-methods/

Die DFN-PKI hat diese Änderung mit der Version 4 der Zertifizierungsrichtlinie umgesetzt. Konkret bedeutet dies:

  • Bestehende Zertifikate mit IP-Adressen bleiben unverändert gültig.
  • Ab dem 31.07.2019 müssen IP-Adressen erneut durch die DFN-PCA validiert werden, wenn sie in neue Zertifikate aufgenommen werden sollen. Die Validierungen sind 825 Tage für weitere Zertifikate gültig.
  • Wenn Sie eine Fehlermeldung „Die IP-Adresse w.x.y.z  ist nicht erlaubt“ beim Hochladen oder Editieren eines Zertifikatantrages erhalten, wenden Sie sich bitte an mailto:dfnpca@dfn-cert.de, um das Verfahren zur Freischaltung des IP-Adress-Blocks zu starten.

Vorab sollten Sie genau prüfen, ob Sie wirklich ein Zertifikat mit einer IP-Adresse benötigen. Wird Ihr Dienst wirklich direkt per IP-Adresse angesprochen? Falls nicht, verzichten Sie auf die IP-Adresse im Zertifikat.

Achtung: Der Validierungsprozess und die Freischaltung beinhalten einige manuelle Schritte auch auf unserer Seite. Daher funktionieren diese nicht so kurzfristig und Self-Service-artig wie bei der Domain-Validierung.

(Jürgen Brauckmann, 25.04.2019)

Version 4 der Zertifizierungsrichtlinie der DFN-PKI im Sicherheitsniveau „Global“

Zum 15.05.2019 tritt die Zertifizierungsrichtlinie 4 im Sicherheitsniveau „Global“ in Kraft. Änderungen in Version 4:

  • Titel und Fußzeile: Versionsnummer und Datum. Versionierung ab dieser Version ohne „Minor Version“
  • 1.2: OIDs
  • 3.2.2: Methoden zur IP-Adress-Validierung an Baseline Requirements 1.6.4 angepasst
  • 4.1.2: Klarstellung, dass pers. ID nur für Zertifikate f. nat. Personen durchgeführt wird (Dies ist keine inhaltliche Änderung, nur eine Präzisierung)

Die Versionsnummer des begleitenden Dokumentes „Erklärung zum Zertifizierungsbetrieb“ für das Sicherheitsniveau „Global“ wurde ebenfalls auf 4 hochgezählt. Inhaltlich wurden keine Änderungen vorgenommen. Die neuen Dokumente finden Sie unter den folgenden URLs:

     https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V4.pdf

     https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V4.pdf

Mit Änderungsmarkierungen:

     https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V4_redline.pdf

     https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V4_redline.pdf

(Jürgen Brauckmann, 25.04.2019)