Schlagwort-Archive: Policy

Version 3.8 der Zertifizierungsrichtlinie DFN-PKI Global

Zum 19.03.2018 tritt die Zertifizierungsrichtlinie 3.8 im Sicherheitsniveau „Global“ in Kraft.

Änderungen in Version 3.8:

* Kapitel 3.2.2, Domain-Autorisierungen umgearbeitet.

Die neue Zertifizierungsrichtlinie (CP) finden Sie unter der folgenden URL:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.8.pdf

Mit Änderungsmarkierungen:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_redline_V3.8.pdf

(jbr, 19.03.2018)

 

 

Version 3.7 des CP DFN-PKI „Global“, Änderungen an weiteren Dokumenten

Als Ergebnis des letztjährigen Audits der DFN-PKI tritt zum 15.02.2018 eine neue Version 3.7 der Zertifizierungsrichtlinie der DFN-PKI im Sicherheitsniveau „Global“ in Kraft.

Die wichtigsten Änderungen sind im Einzelnen:

  • Neuer Audit-Standard ETSI EN 319 411-1
  • Klarstellungen bzgl. Verbots von E-Mail-Adressen in Serverzertifikaten
  • Klarstellungen bzgl. der Sperrgründe in Kapitel 4.9.1

Das neue CP finden Sie unter der folgenden URL:
https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.7.pdf

Mit Änderungsmarkierungen:
https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.7_redline.pdf

Änderungen an den Dokumenten „Pflichten der Teilnehmer“ und „Informationen für Zertifikatinhaber“

In „Pflichten der Teilnehmer“ wurden Regelungen für den Betrieb von Mailgateways aufgenommen. Des Weiteren wurde ein Passus zum regelmäßigen Audit der DFN-PKI „Global“ und die Notwendigkeit der Unterstützung durch die Teilnehmer ergänzt.

In „Informationen für Zertifikatinhaber“ wurden Hinweise für den Betrieb von Mailgateways und zur oben aufgeführten Veröffentlichung von Serverzertifikaten in Certificate Transparency eingeführt.

Die Dokumente finden Sie unter:

https://www.dfn.de/fileadmin/PKI/anleitungen/Pflichten-der-Teilnehmer_V1.3.pdf

https://www.dfn.de/fileadmin/PKI/anleitungen/Informationen-fuer-Zertifikatinhaber_V1.2.pdf

Mit Änderungsmarkierungen:

https://www.dfn.de/fileadmin/PKI/anleitungen/Pflichten-der-Teilnehmer_V1.3_redline.pdf

https://www.dfn.de/fileadmin/PKI/anleitungen/Informationen-fuer-Zertifikatinhaber_V1.2_redline.pdf

(jbr, 30.01.2018)

Version 3.6 der Zertifizierungsrichtlinie DFN-PKI Global

Zum 04.09.2017 tritt die Version 3.6 der Zertifizierungsrichtlinie  (CP) der DFN-PKI für das Sicherheitsniveau Global in Kraft. Das Dokument finden Sie unter: https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.6.pdf

Mit Änderungsmarkierungen:  https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.6-diff.pdf

Die Version 3.6 beinhaltet einige nähere Erläuterungen zu den Prozessen der DFN-PCA, die durch das Mozilla-Root-Programm von allen PKIs angefordert wurden.

Des Weiteren gibt es die folgenden Änderungen:

Klarstellung über die Verwendung von digitalen Signaturen bei Zertifikaterneuerung

In Kapitel 3.3.1 ist geregelt, dass die Authentifizierung eines Zertifikatantrags auch über eine digitale Signatur eines gültigen digitalen Zertifikats möglich ist.

Es wird nun klargestellt, dass auch dieses Verfahren nur zulässig ist, wenn die zugrundeliegende Identifizierung innerhalb des Wiederverwendungszeitraums stattfand.

Unterstützung von RFC 6844 Certification Authority Authorization (CAA)

In Kapitel 4.2.2 wird nun die Unterstützung von CAA beschrieben. Nähere Erläuterungen finden Sie hierzu in dem folgenden Blog-Artikel:

https://blog.pki.dfn.de/2017/03/rfc-6844-certification-authority-authorization-caa/

Gültigkeitsdauer Serverzertifikate

Das CA/Browserforum hat mit Ballot 193 beschlossen, dass ab März 2018 die Laufzeit von ab dann neu ausgestellten Serverzertifikaten 825 Tage nicht überschreiten darf.

Diese Regelung wurde bereits jetzt mit Wirkung zum 01.03.2018 in das Kapitel 6.3.2 aufgenommen.

Erklärung zum Zertifizierungsbetrieb

Die Erklärung zum Zertifizierungsbetrieb (CPS) der DFN-PKI wurde ebenfalls neu veröffentlicht und trägt nun auch die Version 3.6. Das Dokument ist inhaltlich gegenüber der Vorgängerversion 3.1 unverändert.

Durch die Aktualisierung der Versionsnummer wird nun deutlich gemacht, dass das Dokument jährlich überprüft wird. Das Dokument finden Sie unter: https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V3.6.pdf

(jbr, 21.08.2017)

RFC 6844 Certification Authority Authorization (CAA)

Seit Anfang 2013 gibt es den RFC 6844 „Certification Authority Authorization“ (CAA). CAA spezifiziert einen gleichnamigen Resource Record zur Ablage im DNS, mit dem ein Domain-Inhaber festlegen kann, welche Zertifizierungsstelle (CA) für seine Domain Zertifikate ausgeben darf.

Das CA/Browser-Forum verpflichtet mit Ballot 187 jede CA, ab spätestens September 2017 diese CAA Resource Records auszuwerten und zu beachten.

In der DFN-PKI wird dieser Mechanismus zum Sommer 2017 unterstützt werden.

Mechanismus

CAA RRs werden vor der Ausstellung von Zertifikaten durch die CA ausgewertet. Es wird geprüft, ob der Domain-Inhaber einen CAA RR mit der entsprechenden CA gesetzt hat. Gibt es keinen CAA RR, so kann jede CA für die Domain zertifizieren.

CAA wird also nicht von Nutzern von Zertifikaten ausgewertet, sondern ausschließlich von Zertifizierungsstellen exakt zum Zeitpunkt der Ausstellung des Zertifikats. Eine Auswertung durch Nutzer zum Zweck der Zertifikatvalidierung ist im RFC explizit ausgeschlossen.

Im RFC wird empfohlen, CAA in Kombination mit DNSSEC einzusetzen. Die Nutzung ohne DNSSEC ist aber ebenfalls erlaubt.

CAA definiert drei Properties:

  • issue enthält als Wert die Domain der CA, die für die Domain, in der die CAA RRs definiert sind, Zertifikate ausstellen darf.
  • issuewild hat dieselben Eigenschaften wie issue, wird aber für Wildcard-Zertifikate ausgewertet. Ist kein issuewild gesetzt, wird auch für Wildcard-Zertifikate issue ausgewertet
  • iodef spezifiziert Kontaktadressen des Domain-Inhabers, unter denen Probleme oder Verletzungen der CAA-Policy gemeldet werden können.

Die Properties können mehrmals spezifiziert werden, so dass mehreren CAs die Erlaubnis zur Zertifizierung für eine Domain gegeben werden kann.

Die Auswertung geschieht, wie im DNS üblich, hierarchisch aufsteigend und unter Befolgung von CNAME oder DNAME Einträgen. Für eine Zertifikatanfrage für den Domainnamen X.Y.Z wird zunächst im DNS unter X.Y.Z nach CAA RRs gesucht, dann unter Y.Z, dann unter Z.

Ein Beispiel einer Zonendatei mit CAA RRs für die DFN-PKI:

$ORIGIN hs-musterstadt.de
. CAA 0 issue "pki.dfn.de"
. CAA 0 iodef "mailto:certadmin@hs-musterstadt.de"

Werte für die DFN-PKI

Die DFN-PKI wird die issue-Werte „pki.dfn.de“ und „dfn.de“ akzeptieren:

. CAA 0 issue "pki.dfn.de"

oder

. CAA 0 issue "dfn.de"

Konsequenzen für die Web-RA-Schnittstelle

Die Auswertung von CAA ist nur mit erheblicher Implementierungsarbeit umzusetzen. Diese können wir leider nur für die SOAP-Schnittstelle der DFN-PKI (und damit für die Java RA-Oberfläche) realisieren.

Daher werden wir leider das Genehmigen von Zertifikatanträgen in der Web-RA-Schnittstelle für PKIs im Browserverankerten Sicherheitsniveau „Global“ deaktivieren müssen. Bitte verwenden Sie zum Genehmigen von Zertifikatanträgen die Java RA-Oberfläche (Java Webstart https://pki.pca.dfn.de/guira/guira.jnlp).

(jbr, 17.03.2017)

Version 3.5 der Zertifizierungsrichtlinie DFN-PKI Global

Zum 26.04.2016 tritt die Version 3.5 der Zertifizierungsrichtlinie  (CP) der DFN-PKI für das Sicherheitsniveau Global in Kraft. Das Dokument finden Sie unter: https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.5.pdf

Mit Änderungsmarkierungen:  https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.5-diff.pdf

Diese Version 3.5 bereitet die nächste Generation der DFN-PKI vor, die bereits in den Startlöchern steht.

Wurzelzertifikate

Als größte Neuerung ist im neuen CP in Kapitel 1.3.1 der Nachfolger des aktuellen Wurzelzertifikats beschrieben. Zur Zeit wird in der DFN-PKI die „Deutsche Telekom Root CA 2“ verwendet, die am 9. Juli 2019 abläuft. Die nächste Generation der DFN-PKI wird mit dem Wurzelzertifikat „T-TeleSec GlobalRoot Class 2“ in den Betriebssystemen und Browsern verankert sein.

Die DFN-PKI hat von T-Systems bereits ein neues DFN-PCA-Zertifikat unter dieser neuen Wurzel ausgestellt bekommen, mit Gültigkeit bis zum 22. Februar 2031. Der Name des neuen DFN-PCA-Zertifikats ist:

C=DE, O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., OU=DFN-PKI, CN=DFN-Verein Certification Authority 2

Weitere Informationen zur Zertifizierungskette der nächsten Generation der DFN-PKI finden Sie unter: https://www.pki.dfn.de/root/global-generation-2/

Die DFN-PCA wird mit Inkrafttreten des neuen CP 3.5 beginnen, die Zertifizierungshierarchie neu aufzubauen und den Teilnehmern Zugänge zur neuen Generation der DFN-PKI zur Verfügung zu stellen.

Gültigkeitsdauer Nutzerzertifikate

Des Weiteren gibt es eine Änderung bei der Laufzeit für Nutzerzertifikate (Kapitel 6.3.2).

Insbesondere Anwender, die Chipkarten ausgeben, haben den Wunsch nach einer längeren Gültigkeit von Nutzerzertifikaten geäußert. Grund hierfür ist, die Hardware möglichst lange nutzen zu können und den Enrollment-Prozess so selten wie möglich durchführen zu müssen. Nach Gesprächen mit T-Systems als Inhaber der Wurzelzertifikate und TÜViT als Auditor können wir jetzt die Laufzeit für Nutzerzertifikate in der DFN-PKI auf 5 Jahre verlängern.

Für Serverzertifikate muss es bei den schon bisher festgeschriebenen 39 Monaten Laufzeit bleiben, da die Richtlinien des CA/Browserforums keine längere Nutzungsdauer erlauben.

Die neue, längere Laufzeit für Nutzerzertifikate steht erst zur Verfügung, wenn die nächste Generation der DFN-PKI in Betrieb ist, da die jetzige Generation in der Laufzeit bis Mitte 2019 beschränkt ist.

Wir empfehlen, die längere Laufzeit nur für Nutzerzertifikate auf Chipkarten im Zusammenhang mit gut funktionierenden, automatisierten Identity-Managementprozessen einzusetzen, da ansonsten die Gefahr besteht, dass zu viele eigentlich veraltete Zertifikate nicht gesperrt werden und die Verlässlichkeit der PKI für den Teilnehmer leidet.

Abschaffung von Sonderregelungen für Zertifikate mit internen Domainnamen, Hostnamen und reservierten IP-Adressen

Die in früheren Zertifizierungsrichtlinien vorhandenen Sonderregelungen für Zertifikate mit internen Domainnamen, Hostnamen und reservierten IP-Adressen sind nach Ablauf von Übergangsfristen des CA/Browserforums aus Kapitel 3.1.2 und Kapitel 6.3.2 entfernt worden. Weitere Informationen hierzu: https://blog.pki.dfn.de/2015/02/interne-domainnamen/

(jbr, 11.04.2016)

Version 3.4 der Zertifizierungsrichtlinie DFN-PKI Global

Anlässlich des diesjährigen Audits der DFN-PKI haben wir wieder einige kleinere Änderungen an der Zertifizierungsrichtlinie (CP) der DFN-PKI im Sicherheitsniveau „Global“ vorgenommen. Die neue Version 3.4 tritt zum 15.10.2015 in Kraft.

Die größte Neuerung: In Zukunft können nach gesonderter Prüfung durch die DFN-PCA für spezielle Anwendungen Wildcard-Zertifikate ausgestellt werden. Anfragen hierzu bitte per E-Mail (dfnpca@dfn-cert.de).

Die weiteren Änderungen, die keine Auswirkung auf den praktischen Einsatz haben, umfassen eine explizite Auflistung der erlaubten Zertifikatnutzungen, ein Hinweis zu CAA-Records, Umstellungen bei den OIDs in Zertifikaten, und eine Klarstellung zu abgelaufenen Zertifikaten.

Das neue CP finden Sie unter der folgenden URL:
<https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.4.pdf>

Mit Änderungsmarkierungen: <https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.4_diff.pdf>

(jbr, 01.10.2015)

Interne Domainnamen

In einigen Einsatzszenarien ist es nützlich oder sogar erforderlich, Web- oder sonstige Server mit Zertifikaten für interne Domainnamen wie „mail.local“ oder reservierte IP-Adressen wie 192.168.6.1 auszustatten.

Da diese Daten aber nicht eindeutig einem einzigen Server zugeordnet sind, ist die Existenz und die Nutzung solcher Zertifikate unter einer öffentlich vertrauten im Browser vorinstallierten CA wie der DFN-PKI (Sicherheitsniveau „Global“) ein potentielles Sicherheitsrisiko.

Daher schreiben die Baseline Requirements des CA/Browser-Forums schon seit einiger Zeit vor, dass solche Zertifikate nur noch mit einer maximalen Laufzeit bis 30.10.2015 ausgestellt werden.  Am 1.10.2016 müssen alle noch gültigen betroffenen Zertifikate, die eventuell früher mit einer längeren Laufzeit ausgestellt wurden, gesperrt werden.

Lässt sich die Verwendung von internen Domainnamen oder reservierten IP-Adressen in Zertifikaten nicht vermeiden (z.B. durch Umbenennungen), so müssen diese in Zukunft von nicht im Browser vorinstallierten CAs ausgestellt werden.

Eine ausführliche Beschreibung und weitere Hinweise zu dieser Problematik finden Sie in folgendem Dokument: https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Interne-Namen.pdf

Vom CA/Browser-Forum steht ebenfalls ein Dokument mit Hinweisen zur Verfügung: https://cabforum.org/wp-content/uploads/Guidance-Deprecated-Internal-Names.pdf

(jbr, 05.02.2015)

Version 3.3 der Zertifizierungsrichtlinie DFN-PKI Global

Am 20.11.2014 tritt die leicht modifizierte Version 3.3 des CP der DFN-PKI, Sicherheitsniveau „Global“, in Kraft. Die Änderungen sind:

  • Nutzerzertifikate beinhalten in Zukunft neben einem Verweis auf die Sperrliste auch die URL des OCSP-Responders der DFN-PKI. Bisher galt dies nur für Serverzertifikate.
  • Bei Namensänderungen (z.B. durch Heirat) kann ein Nachweis über den neuen Namen jetzt mit einem alten, noch ungeänderten Ausweis und einer Personenstandsurkunde nachgewiesen werden (sofern diese nicht älter als 6 Monate ist).

Das neue CP ist unter der folgenden URL verfügbar :
<https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.3.pdf>

Mit Änderungsmarkierungen:
<https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.3_diff.pdf>

(jbr, 06.11.2014)