Schlagwort-Archive: Policy

Version 7 der Zertifizierungsrichtlinie der DFN-PKI im Sicherheitsniveau „Global“

Zum 03.06.2020 tritt die Zertifizierungsrichtlinie 7 im Sicherheitsniveau „Global“ in Kraft. Änderungen in Version 7:

  • Titel und Fußzeile: Versionsnummer und Datum.
  • 1.2: OIDs
  • 1.5.2: E-Mail-Adresse für Problem Reports
  • 3.2.2: Validierung von IP-Adressen auch nach Methode 3.2.2.5.3 der BR möglich. Abgelaufene Methode entfernt.
  • 3.2.3: Anpassung an Umstellung von PostIdent
  • 4.9: E-Mail-Adresse, Klarstellung Bearbeitung
  • 6.3.2: Anpassung der Laufzeit von Zertifikaten für Datenverarbeitungssysteme nach Apples Vorgaben ab 01.09.2020
  • 6.4.2: Umstellung des Schutzes von Aktivierungsdaten

Die Version 7 der Erklärung zum Zertifizierungsbetrieb für das Sicherheitsniveau „Global“, Datum des Inkrafttretens ebenfalls 03.06.2020, beinhaltet folgende Änderungen:

  • Titel und Fußzeile: Versionsnummer und Datum
  • 1.2: OIDs

Die neuen Dokumente finden Sie unter den folgenden URLs:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V7.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V7.pdf

Mit Änderungsmarkierungen:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V7_redline.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V7_redline.pdf

(Jürgen Brauckmann, 18.05.2020)

Version 6 der Zertifizierungsrichtlinie der DFN-PKI im Sicherheitsniveau „Global“

Zum 03.04.2020 tritt die Zertifizierungsrichtlinie 6 im Sicherheitsniveau „Global“ in Kraft. Änderungen in Version 6:

  • Titel und Fußzeile: Versionsnummer und Datum.
  • 1.2: OIDs
  • 4.9.7 und 7.2: Anpassungen der Regeln zum Ausstellen von Sperrlisten

Die Version 6 der Erklärung zum Zertifizierungsbetrieb für das Sicherheitsniveau „Global“, Datum des Inkrafttretens ebenfalls 03.04.2020, beinhaltet folgende Änderungen:

  • Titel und Fußzeile: Versionsnummer und Datum
  • 1.2: OIDs

Die neuen Dokumente finden Sie unter den folgenden URLs:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V6.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V6.pdf

Mit Änderungsmarkierungen:

     https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V6_redline.pdf

     https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V6_redline.pdf

(Jürgen Brauckmann, 20.03.2020)

Mögliche weitere Reduzierung der Laufzeit von Serverzertifikaten

Nach Presseberichten aus der letzten Woche (z.B. https://www.golem.de/news/apple-safari-soll-nur-noch-einjaehrige-tls-zertifikate-akzeptieren-2002-146779.html) hat Apple auf einem Meeting des CA/Browser Forums angekündigt, dass seine Software (wie z.B. Safari, iOS oder macOS) ab 1. September 2020 neu ausgestellte Serverzertifikate nur noch dann akzeptiert, wenn deren Laufzeit kleiner oder gleich 398 Tagen ist.

Damit setzt sich der Trend zu kürzeren Laufzeiten und damit verbunden die Notwendigkeit von höheren Automatisierungsgraden im Handling von PKIs fort.

Da Apple bisher offensichtlich nur eine mündliche Ankündigung gemacht hat, über die nur Berichte aus zweiter Hand vorliegen, ist es zur Zeit noch nicht möglich die exakten Konsequenzen abzuschätzen. Wir verfolgen die Entwicklung und prüfen, ob wir die Laufzeit von Serverzertifikaten ab 1. September 2020 generell auf 398 Tage begrenzen müssen, oder ob es weitere Optionen geben kann, beispielsweise für Anwendungsfälle jenseits von Webservern.

Wir möchten außerdem auf die bestehenden Automatisierungsmöglichkeiten in der DFN-PKI per Web-Service-Schnittstelle (https://blog.pki.dfn.de/tag/soapclient-releases/) hinweisen. Des Weiteren arbeiten wir an der Abschaffung des bisherigen Papierformulars für Serverzertifikate, wodurch der Aufwand bei der manuellen Beantragung von Serverzertifikaten reduziert werden wird.

(Jürgen Brauckmann, 27.02.2020)

Version 5 der Zertifizierungsrichtlinie der DFN-PKI im Sicherheitsniveau „Global“

Zum 31.01.2020 tritt die Zertifizierungsrichtlinie 5 im Sicherheitsniveau „Global“ in Kraft. Änderungen in Version 5:

  • Titel und Fußzeile: Versionsnummer und Datum.
  • 1.2: OIDs
  • 1.3.1: Liste der Root-Zertifikate und ausstellenden CAs aktualisiert
  • 2.2: Liste der Root-Zertifikate aktualisiert
  • 3.2.3: Validierung von Domains von E-Mail-Adressen beschrieben

Die Version 5 der Erklärung zum Zertifizierungsbetrieb für das Sicherheitsniveau „Global“, Datum des Inkrafttretens ebenfalls 31.01.2020, beinhaltet folgende Änderungen:

  • Titel und Fußzeile: Versionsnummer und Datum
  • 1.2: OIDs
  • 6.6.2: Intervall der Konfigurationsüberprüfung

Die neuen Dokumente finden Sie unter den folgenden URLs:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V5.pdf

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V5.pdf

(Jürgen Brauckmann, 17.01.2020)

Version 4 der Zertifizierungsrichtlinie der DFN-PKI im Sicherheitsniveau „Global“

Zum 15.05.2019 tritt die Zertifizierungsrichtlinie 4 im Sicherheitsniveau „Global“ in Kraft. Änderungen in Version 4:

  • Titel und Fußzeile: Versionsnummer und Datum. Versionierung ab dieser Version ohne „Minor Version“
  • 1.2: OIDs
  • 3.2.2: Methoden zur IP-Adress-Validierung an Baseline Requirements 1.6.4 angepasst
  • 4.1.2: Klarstellung, dass pers. ID nur für Zertifikate f. nat. Personen durchgeführt wird (Dies ist keine inhaltliche Änderung, nur eine Präzisierung)

Die Versionsnummer des begleitenden Dokumentes „Erklärung zum Zertifizierungsbetrieb“ für das Sicherheitsniveau „Global“ wurde ebenfalls auf 4 hochgezählt. Inhaltlich wurden keine Änderungen vorgenommen. Die neuen Dokumente finden Sie unter den folgenden URLs:

     https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V4.pdf

     https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V4.pdf

Mit Änderungsmarkierungen:

     https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V4_redline.pdf

     https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V4_redline.pdf

(Jürgen Brauckmann, 25.04.2019)

Version 3.8 der Zertifizierungsrichtlinie DFN-PKI Global

Zum 19.03.2018 tritt die Zertifizierungsrichtlinie 3.8 im Sicherheitsniveau „Global“ in Kraft.

Änderungen in Version 3.8:

* Kapitel 3.2.2, Domain-Autorisierungen umgearbeitet.

Die neue Zertifizierungsrichtlinie (CP) finden Sie unter der folgenden URL:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.8.pdf

Mit Änderungsmarkierungen:

https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_redline_V3.8.pdf

(jbr, 19.03.2018)

 

 

Version 3.7 des CP DFN-PKI „Global“, Änderungen an weiteren Dokumenten

Als Ergebnis des letztjährigen Audits der DFN-PKI tritt zum 15.02.2018 eine neue Version 3.7 der Zertifizierungsrichtlinie der DFN-PKI im Sicherheitsniveau „Global“ in Kraft.

Die wichtigsten Änderungen sind im Einzelnen:

  • Neuer Audit-Standard ETSI EN 319 411-1
  • Klarstellungen bzgl. Verbots von E-Mail-Adressen in Serverzertifikaten
  • Klarstellungen bzgl. der Sperrgründe in Kapitel 4.9.1

Das neue CP finden Sie unter der folgenden URL:
https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.7.pdf

Mit Änderungsmarkierungen:
https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.7_redline.pdf

Änderungen an den Dokumenten „Pflichten der Teilnehmer“ und „Informationen für Zertifikatinhaber“

In „Pflichten der Teilnehmer“ wurden Regelungen für den Betrieb von Mailgateways aufgenommen. Des Weiteren wurde ein Passus zum regelmäßigen Audit der DFN-PKI „Global“ und die Notwendigkeit der Unterstützung durch die Teilnehmer ergänzt.

In „Informationen für Zertifikatinhaber“ wurden Hinweise für den Betrieb von Mailgateways und zur oben aufgeführten Veröffentlichung von Serverzertifikaten in Certificate Transparency eingeführt.

Die Dokumente finden Sie unter:

https://www.dfn.de/fileadmin/PKI/anleitungen/Pflichten-der-Teilnehmer_V1.3.pdf

https://www.dfn.de/fileadmin/PKI/anleitungen/Informationen-fuer-Zertifikatinhaber_V1.2.pdf

Mit Änderungsmarkierungen:

https://www.dfn.de/fileadmin/PKI/anleitungen/Pflichten-der-Teilnehmer_V1.3_redline.pdf

https://www.dfn.de/fileadmin/PKI/anleitungen/Informationen-fuer-Zertifikatinhaber_V1.2_redline.pdf

(jbr, 30.01.2018)

Version 3.6 der Zertifizierungsrichtlinie DFN-PKI Global

Zum 04.09.2017 tritt die Version 3.6 der Zertifizierungsrichtlinie  (CP) der DFN-PKI für das Sicherheitsniveau Global in Kraft. Das Dokument finden Sie unter: https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.6.pdf

Mit Änderungsmarkierungen:  https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.6-diff.pdf

Die Version 3.6 beinhaltet einige nähere Erläuterungen zu den Prozessen der DFN-PCA, die durch das Mozilla-Root-Programm von allen PKIs angefordert wurden.

Des Weiteren gibt es die folgenden Änderungen:

Klarstellung über die Verwendung von digitalen Signaturen bei Zertifikaterneuerung

In Kapitel 3.3.1 ist geregelt, dass die Authentifizierung eines Zertifikatantrags auch über eine digitale Signatur eines gültigen digitalen Zertifikats möglich ist.

Es wird nun klargestellt, dass auch dieses Verfahren nur zulässig ist, wenn die zugrundeliegende Identifizierung innerhalb des Wiederverwendungszeitraums stattfand.

Unterstützung von RFC 6844 Certification Authority Authorization (CAA)

In Kapitel 4.2.2 wird nun die Unterstützung von CAA beschrieben. Nähere Erläuterungen finden Sie hierzu in dem folgenden Blog-Artikel:

https://blog.pki.dfn.de/2017/03/rfc-6844-certification-authority-authorization-caa/

Gültigkeitsdauer Serverzertifikate

Das CA/Browserforum hat mit Ballot 193 beschlossen, dass ab März 2018 die Laufzeit von ab dann neu ausgestellten Serverzertifikaten 825 Tage nicht überschreiten darf.

Diese Regelung wurde bereits jetzt mit Wirkung zum 01.03.2018 in das Kapitel 6.3.2 aufgenommen.

Erklärung zum Zertifizierungsbetrieb

Die Erklärung zum Zertifizierungsbetrieb (CPS) der DFN-PKI wurde ebenfalls neu veröffentlicht und trägt nun auch die Version 3.6. Das Dokument ist inhaltlich gegenüber der Vorgängerversion 3.1 unverändert.

Durch die Aktualisierung der Versionsnummer wird nun deutlich gemacht, dass das Dokument jährlich überprüft wird. Das Dokument finden Sie unter: https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CPS_V3.6.pdf

(jbr, 21.08.2017)

RFC 6844 Certification Authority Authorization (CAA)

Seit Anfang 2013 gibt es den RFC 6844 „Certification Authority Authorization“ (CAA). CAA spezifiziert einen gleichnamigen Resource Record zur Ablage im DNS, mit dem ein Domain-Inhaber festlegen kann, welche Zertifizierungsstelle (CA) für seine Domain Zertifikate ausgeben darf.

Das CA/Browser-Forum verpflichtet mit Ballot 187 jede CA, ab spätestens September 2017 diese CAA Resource Records auszuwerten und zu beachten.

In der DFN-PKI wird dieser Mechanismus zum Sommer 2017 unterstützt werden.

Mechanismus

CAA RRs werden vor der Ausstellung von Zertifikaten durch die CA ausgewertet. Es wird geprüft, ob der Domain-Inhaber einen CAA RR mit der entsprechenden CA gesetzt hat. Gibt es keinen CAA RR, so kann jede CA für die Domain zertifizieren.

CAA wird also nicht von Nutzern von Zertifikaten ausgewertet, sondern ausschließlich von Zertifizierungsstellen exakt zum Zeitpunkt der Ausstellung des Zertifikats. Eine Auswertung durch Nutzer zum Zweck der Zertifikatvalidierung ist im RFC explizit ausgeschlossen.

Im RFC wird empfohlen, CAA in Kombination mit DNSSEC einzusetzen. Die Nutzung ohne DNSSEC ist aber ebenfalls erlaubt.

CAA definiert drei Properties:

  • issue enthält als Wert die Domain der CA, die für die Domain, in der die CAA RRs definiert sind, Zertifikate ausstellen darf.
  • issuewild hat dieselben Eigenschaften wie issue, wird aber für Wildcard-Zertifikate ausgewertet. Ist kein issuewild gesetzt, wird auch für Wildcard-Zertifikate issue ausgewertet
  • iodef spezifiziert Kontaktadressen des Domain-Inhabers, unter denen Probleme oder Verletzungen der CAA-Policy gemeldet werden können.

Die Properties können mehrmals spezifiziert werden, so dass mehreren CAs die Erlaubnis zur Zertifizierung für eine Domain gegeben werden kann.

Die Auswertung geschieht, wie im DNS üblich, hierarchisch aufsteigend und unter Befolgung von CNAME oder DNAME Einträgen. Für eine Zertifikatanfrage für den Domainnamen X.Y.Z wird zunächst im DNS unter X.Y.Z nach CAA RRs gesucht, dann unter Y.Z, dann unter Z.

Ein Beispiel einer Zonendatei mit CAA RRs für die DFN-PKI:

$ORIGIN hs-musterstadt.de
. CAA 0 issue "pki.dfn.de"
. CAA 0 iodef "mailto:certadmin@hs-musterstadt.de"

Werte für die DFN-PKI

Die DFN-PKI wird die issue-Werte „pki.dfn.de“ und „dfn.de“ akzeptieren:

. CAA 0 issue "pki.dfn.de"

oder

. CAA 0 issue "dfn.de"

Konsequenzen für die Web-RA-Schnittstelle

Die Auswertung von CAA ist nur mit erheblicher Implementierungsarbeit umzusetzen. Diese können wir leider nur für die SOAP-Schnittstelle der DFN-PKI (und damit für die Java RA-Oberfläche) realisieren.

Daher werden wir leider das Genehmigen von Zertifikatanträgen in der Web-RA-Schnittstelle für PKIs im Browserverankerten Sicherheitsniveau „Global“ deaktivieren müssen. Bitte verwenden Sie zum Genehmigen von Zertifikatanträgen die Java RA-Oberfläche (Java Webstart https://pki.pca.dfn.de/guira/guira.jnlp).

(jbr, 17.03.2017)

Version 3.5 der Zertifizierungsrichtlinie DFN-PKI Global

Zum 26.04.2016 tritt die Version 3.5 der Zertifizierungsrichtlinie  (CP) der DFN-PKI für das Sicherheitsniveau Global in Kraft. Das Dokument finden Sie unter: https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.5.pdf

Mit Änderungsmarkierungen:  https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.5-diff.pdf

Diese Version 3.5 bereitet die nächste Generation der DFN-PKI vor, die bereits in den Startlöchern steht.

Wurzelzertifikate

Als größte Neuerung ist im neuen CP in Kapitel 1.3.1 der Nachfolger des aktuellen Wurzelzertifikats beschrieben. Zur Zeit wird in der DFN-PKI die „Deutsche Telekom Root CA 2“ verwendet, die am 9. Juli 2019 abläuft. Die nächste Generation der DFN-PKI wird mit dem Wurzelzertifikat „T-TeleSec GlobalRoot Class 2“ in den Betriebssystemen und Browsern verankert sein.

Die DFN-PKI hat von T-Systems bereits ein neues DFN-PCA-Zertifikat unter dieser neuen Wurzel ausgestellt bekommen, mit Gültigkeit bis zum 22. Februar 2031. Der Name des neuen DFN-PCA-Zertifikats ist:

C=DE, O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., OU=DFN-PKI, CN=DFN-Verein Certification Authority 2

Weitere Informationen zur Zertifizierungskette der nächsten Generation der DFN-PKI finden Sie unter: https://www.pki.dfn.de/root/global-generation-2/

Die DFN-PCA wird mit Inkrafttreten des neuen CP 3.5 beginnen, die Zertifizierungshierarchie neu aufzubauen und den Teilnehmern Zugänge zur neuen Generation der DFN-PKI zur Verfügung zu stellen.

Gültigkeitsdauer Nutzerzertifikate

Des Weiteren gibt es eine Änderung bei der Laufzeit für Nutzerzertifikate (Kapitel 6.3.2).

Insbesondere Anwender, die Chipkarten ausgeben, haben den Wunsch nach einer längeren Gültigkeit von Nutzerzertifikaten geäußert. Grund hierfür ist, die Hardware möglichst lange nutzen zu können und den Enrollment-Prozess so selten wie möglich durchführen zu müssen. Nach Gesprächen mit T-Systems als Inhaber der Wurzelzertifikate und TÜViT als Auditor können wir jetzt die Laufzeit für Nutzerzertifikate in der DFN-PKI auf 5 Jahre verlängern.

Für Serverzertifikate muss es bei den schon bisher festgeschriebenen 39 Monaten Laufzeit bleiben, da die Richtlinien des CA/Browserforums keine längere Nutzungsdauer erlauben.

Die neue, längere Laufzeit für Nutzerzertifikate steht erst zur Verfügung, wenn die nächste Generation der DFN-PKI in Betrieb ist, da die jetzige Generation in der Laufzeit bis Mitte 2019 beschränkt ist.

Wir empfehlen, die längere Laufzeit nur für Nutzerzertifikate auf Chipkarten im Zusammenhang mit gut funktionierenden, automatisierten Identity-Managementprozessen einzusetzen, da ansonsten die Gefahr besteht, dass zu viele eigentlich veraltete Zertifikate nicht gesperrt werden und die Verlässlichkeit der PKI für den Teilnehmer leidet.

Abschaffung von Sonderregelungen für Zertifikate mit internen Domainnamen, Hostnamen und reservierten IP-Adressen

Die in früheren Zertifizierungsrichtlinien vorhandenen Sonderregelungen für Zertifikate mit internen Domainnamen, Hostnamen und reservierten IP-Adressen sind nach Ablauf von Übergangsfristen des CA/Browserforums aus Kapitel 3.1.2 und Kapitel 6.3.2 entfernt worden. Weitere Informationen hierzu: https://blog.pki.dfn.de/2015/02/interne-domainnamen/

(jbr, 11.04.2016)