Schlagwort-Archive: Java

Java-Sicherheit und die RA-Oberfläche der DFN-PKI

Die RA-Oberfläche der DFN-PKI ist als Java WebStart Anwendung programmiert. Dadurch steht ein plattformübergreifendes Werkzeug zum Bearbeiten und Genehmigen von Zertifikatanträgen zur Verfügung.

Die ebenfalls noch existierende Web-Schnittstelle für den Teilnehmerservice kann inzwischen nicht mehr ohne weitere Add-ons zum Genehmigen von Anträgen verwendet werden, da Mozilla bestimmte JavaScript-Funktionalität (crypto.signText) aus dem Firefox entfernt hat. (Siehe auch Update: Firefox und die Web-RA-Oberfläche der DFN-PKI)

Java ist bekanntermaßen nicht unproblematisch. In den letzten Jahren wurden viele Schwachstellen entdeckt, die ein Aufbrechen des Java Sicherheitsmodells erlauben. Leider werden bei einer Java-Installation automatisch auch immer Browser-Plugins mit installiert. Über diese Browser-Plugins werden immer wieder Systeme beim bloßen Surfen im Web durch die automatische Ausführung von Java-Code mit Schadsoftware infiziert.

Aber: Zum Ausführen der RA-Oberfläche der DFN-PKI wird kein Browser-Plugin benötigt, so dass diese Sicherheitslücke nicht offen stehen muss.

Die RA-Oberfläche wird direkt ohne Plugin über einen Aufruf von https://pki.pca.dfn.de/guira/guira.jnlp durch Java WebStart gestartet. Entweder über die Adresszeile des Browsers mit einer Dateinamen-Verknüpfung .jnlp->Java WebStart, oder über die Kommandozeile:

javaws https://pki.pca.dfn.de/guira/guira.jnlp

Sie können daher, wenn Sie Java allein für die DFN-PKI verwenden, ohne Bedenken die Java-Plugins in Ihren Browsern deaktivieren oder so konfigurieren, dass Sie vor der Ausführung von Java Applets eine Bestätigung geben müssen.

Unter Firefox rufen Sie zur Konfiguration about:addons auf, und setzen das Java Plugin auf „Nachfragen, ob aktiviert werden soll“ oder „Nie aktivieren“.

firefoxaddons

Im Internet Explorer wählen Sie „Add-ons verwalten“ aus dem Extras-Menü:

internetexploreraddons

Unter Google Chrome finden Sie ähnliche Einstellungsmöglichkeiten unter chrome://plugins/.

(jbr, 13.07.2015)

Java 7u51 und neuer: Änderungen beim CodeSigning

Seit Java 7u51, das Anfang 2014 herauskam, müssen Applets und Webstart-Anwendungen signiert sein. Sind sie es nicht, verweigern die Default-Sicherheitseinstellungen von Java die Ausführung.

Zum Signieren von Applets oder Webstart-Anwendungen wird das Tool jarsigner verwendet. Die CodeSigning-Zertifikate aus der DFN-PKI können hierfür genutzt werden.

Seit Java 7u51 gibt der jarsigner eine Warnung aus, wenn eine Signatur erstellt wird, ohne gleichzeitig einen Zeitstempel einzubinden. Mit folgendem Aufruf wird eine Signatur unter Verwendung des Zeitstempeldienstes der DFN-PKI erstellt:

jarsigner -tsa http://zeitstempel.dfn.de -keystore <CodeSigning-Zertifikat.p12> -storetype pkcs12

Optional kann, entgegen teilweise anzutreffender Dokumentation, auch noch ein Proxy für den Zeitstempelserver angegeben werden. Die Parameter hierfür sind:

-J-Dhttp.proxyHost=<ProxyHost> -J-Dhttp.proxyPort=<ProxyPort>
Weitere Informationen: https://www.pki.dfn.de/faqpki/faqpki-codesigning/
(jbr, 14.08.2014)