Schlagwort-Archive: Java

Bezugsquellen für Java zum Betrieb der RA-Oberfläche

[Ergänzung 16.05.2019: Hinweise zu Updates von OpenJDK]
[Aktualisierung 19.02.2021: Lizenzpflichtige Oracle JDK Builds entfernt]

Mit Stand 02/2021 sind folgende Java-Varianten zur Installation auf dem eigenen Desktop zur Nutzung mit der Java RA-Oberfläche verfügbar:

  • Frei verwendbare OpenJDK Builds von Oracle. Diese Builds folgen im Support-Zeitraum exakt dem Release-Zyklus von Java. Daher gibt es für jede Java Version nur 6 Monate Support. Danach muss das nächste Major-Release installiert werden, um weiterhin Security Updates zu erhalten. Quelle: https://jdk.java.net/
  • Java Builds von Drittanbietern, z.B. AdoptOpenJDK, Azul oder die bei diversen Linux-Distributionen enthaltenen Java Builds. Naturgemäß gibt es hier unterschiedliche Lizenzen und Support-Zeiträume.

Die Java RA-Oberfläche der DFN-PKI wird für das jeweils aktuelle frei verwendbare OpenJDK Build von Oracle, das den Zustand „General Availability“ (GA) erreicht hat, erstellt und getestet.

Die Java RA-Oberfläche benötigt aktuell mindestens Java 11.

Die aktuelle GA-Version des OpenJDK Builds von Oracle erhalten Sie unter https://jdk.java.net/  oder https://openjdk.java.net/projects/jdk/ (Hinweis: Wählen Sie keine Version, die mit „In Development“ markiert ist, sondern nur die mit „GA“ gekennzeichneten Downloads).

Ergänzung 16.5.2019: Achtung: Die frei verfügbaren OpenJDK Builds von Oracle haben keinen automatischen Update-Mechanismus. Sie werden auch nicht auf neue Versionen des OpenJDK hingewiesen. Sie müssen selbst für die rechtzeitige Aktualisierung sorgen!

(Jürgen Brauckmann, 15.05.2019)

Java-Sicherheit und die RA-Oberfläche der DFN-PKI

Die RA-Oberfläche der DFN-PKI ist als Java WebStart Anwendung programmiert. Dadurch steht ein plattformübergreifendes Werkzeug zum Bearbeiten und Genehmigen von Zertifikatanträgen zur Verfügung.

Die ebenfalls noch existierende Web-Schnittstelle für den Teilnehmerservice kann inzwischen nicht mehr ohne weitere Add-ons zum Genehmigen von Anträgen verwendet werden, da Mozilla bestimmte JavaScript-Funktionalität (crypto.signText) aus dem Firefox entfernt hat. (Siehe auch Update: Firefox und die Web-RA-Oberfläche der DFN-PKI)

Java ist bekanntermaßen nicht unproblematisch. In den letzten Jahren wurden viele Schwachstellen entdeckt, die ein Aufbrechen des Java Sicherheitsmodells erlauben. Leider werden bei einer Java-Installation automatisch auch immer Browser-Plugins mit installiert. Über diese Browser-Plugins werden immer wieder Systeme beim bloßen Surfen im Web durch die automatische Ausführung von Java-Code mit Schadsoftware infiziert.

Aber: Zum Ausführen der RA-Oberfläche der DFN-PKI wird kein Browser-Plugin benötigt, so dass diese Sicherheitslücke nicht offen stehen muss.

Die RA-Oberfläche wird direkt ohne Plugin über einen Aufruf von https://pki.pca.dfn.de/guira/guira.jnlp durch Java WebStart gestartet. Entweder über die Adresszeile des Browsers mit einer Dateinamen-Verknüpfung .jnlp->Java WebStart, oder über die Kommandozeile:

javaws https://pki.pca.dfn.de/guira/guira.jnlp

Sie können daher, wenn Sie Java allein für die DFN-PKI verwenden, ohne Bedenken die Java-Plugins in Ihren Browsern deaktivieren oder so konfigurieren, dass Sie vor der Ausführung von Java Applets eine Bestätigung geben müssen.

Unter Firefox rufen Sie zur Konfiguration about:addons auf, und setzen das Java Plugin auf „Nachfragen, ob aktiviert werden soll“ oder „Nie aktivieren“.

firefoxaddons

Im Internet Explorer wählen Sie „Add-ons verwalten“ aus dem Extras-Menü:

internetexploreraddons

Unter Google Chrome finden Sie ähnliche Einstellungsmöglichkeiten unter chrome://plugins/.

(jbr, 13.07.2015)

Java 7u51 und neuer: Änderungen beim CodeSigning

Seit Java 7u51, das Anfang 2014 herauskam, müssen Applets und Webstart-Anwendungen signiert sein. Sind sie es nicht, verweigern die Default-Sicherheitseinstellungen von Java die Ausführung.

Zum Signieren von Applets oder Webstart-Anwendungen wird das Tool jarsigner verwendet. Die CodeSigning-Zertifikate aus der DFN-PKI können hierfür genutzt werden.

Seit Java 7u51 gibt der jarsigner eine Warnung aus, wenn eine Signatur erstellt wird, ohne gleichzeitig einen Zeitstempel einzubinden. Mit folgendem Aufruf wird eine Signatur unter Verwendung des Zeitstempeldienstes der DFN-PKI erstellt:

jarsigner -tsa http://zeitstempel.dfn.de -keystore <CodeSigning-Zertifikat.p12> -storetype pkcs12

Optional kann, entgegen teilweise anzutreffender Dokumentation, auch noch ein Proxy für den Zeitstempelserver angegeben werden. Die Parameter hierfür sind:

-J-Dhttp.proxyHost=<ProxyHost> -J-Dhttp.proxyPort=<ProxyPort>
Weitere Informationen: https://www.pki.dfn.de/faqpki/faqpki-codesigning/
(jbr, 14.08.2014)