Schlagwort-Archive: Reservierte IP-Adressen

Version 3.5 der Zertifizierungsrichtlinie DFN-PKI Global

Zum 26.04.2016 tritt die Version 3.5 der Zertifizierungsrichtlinie  (CP) der DFN-PKI für das Sicherheitsniveau Global in Kraft. Das Dokument finden Sie unter: https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.5.pdf

Mit Änderungsmarkierungen:  https://www.pki.dfn.de/fileadmin/PKI/Policy-Archiv/DFN-PKI_CP_V3.5-diff.pdf

Diese Version 3.5 bereitet die nächste Generation der DFN-PKI vor, die bereits in den Startlöchern steht.

Wurzelzertifikate

Als größte Neuerung ist im neuen CP in Kapitel 1.3.1 der Nachfolger des aktuellen Wurzelzertifikats beschrieben. Zur Zeit wird in der DFN-PKI die „Deutsche Telekom Root CA 2“ verwendet, die am 9. Juli 2019 abläuft. Die nächste Generation der DFN-PKI wird mit dem Wurzelzertifikat „T-TeleSec GlobalRoot Class 2“ in den Betriebssystemen und Browsern verankert sein.

Die DFN-PKI hat von T-Systems bereits ein neues DFN-PCA-Zertifikat unter dieser neuen Wurzel ausgestellt bekommen, mit Gültigkeit bis zum 22. Februar 2031. Der Name des neuen DFN-PCA-Zertifikats ist:

C=DE, O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., OU=DFN-PKI, CN=DFN-Verein Certification Authority 2

Weitere Informationen zur Zertifizierungskette der nächsten Generation der DFN-PKI finden Sie unter: https://www.pki.dfn.de/root/global-generation-2/

Die DFN-PCA wird mit Inkrafttreten des neuen CP 3.5 beginnen, die Zertifizierungshierarchie neu aufzubauen und den Teilnehmern Zugänge zur neuen Generation der DFN-PKI zur Verfügung zu stellen.

Gültigkeitsdauer Nutzerzertifikate

Des Weiteren gibt es eine Änderung bei der Laufzeit für Nutzerzertifikate (Kapitel 6.3.2).

Insbesondere Anwender, die Chipkarten ausgeben, haben den Wunsch nach einer längeren Gültigkeit von Nutzerzertifikaten geäußert. Grund hierfür ist, die Hardware möglichst lange nutzen zu können und den Enrollment-Prozess so selten wie möglich durchführen zu müssen. Nach Gesprächen mit T-Systems als Inhaber der Wurzelzertifikate und TÜViT als Auditor können wir jetzt die Laufzeit für Nutzerzertifikate in der DFN-PKI auf 5 Jahre verlängern.

Für Serverzertifikate muss es bei den schon bisher festgeschriebenen 39 Monaten Laufzeit bleiben, da die Richtlinien des CA/Browserforums keine längere Nutzungsdauer erlauben.

Die neue, längere Laufzeit für Nutzerzertifikate steht erst zur Verfügung, wenn die nächste Generation der DFN-PKI in Betrieb ist, da die jetzige Generation in der Laufzeit bis Mitte 2019 beschränkt ist.

Wir empfehlen, die längere Laufzeit nur für Nutzerzertifikate auf Chipkarten im Zusammenhang mit gut funktionierenden, automatisierten Identity-Managementprozessen einzusetzen, da ansonsten die Gefahr besteht, dass zu viele eigentlich veraltete Zertifikate nicht gesperrt werden und die Verlässlichkeit der PKI für den Teilnehmer leidet.

Abschaffung von Sonderregelungen für Zertifikate mit internen Domainnamen, Hostnamen und reservierten IP-Adressen

Die in früheren Zertifizierungsrichtlinien vorhandenen Sonderregelungen für Zertifikate mit internen Domainnamen, Hostnamen und reservierten IP-Adressen sind nach Ablauf von Übergangsfristen des CA/Browserforums aus Kapitel 3.1.2 und Kapitel 6.3.2 entfernt worden. Weitere Informationen hierzu: https://blog.pki.dfn.de/2015/02/interne-domainnamen/

(jbr, 11.04.2016)

VMware 5.5: CSRs ohne IP-Adressen und kurzen Host-Namen mit dem „SSL Certificate Automation Tool“ erzeugen

Das „SSL Certificate Automation Tool“ von VMware 5.5 unterstützt die VMware-Administration dabei, die für die VMware-Installation nötigen SSL-Zertifikate zu beantragen und zu installieren. Inbesondere erzeugt das Werkzeug die zur Zertifikatantragstellung nötigen Certificate Signing Requests (CSRs).

Allerdings akzeptieren die RA-Oberflächen und -Schnittstellen der DFN-PKI seit dem 1. November 2015 keine CSRs mehr, die interne Domain-Namen,  „kurze“ Host-Namen (also Host-Namen ohne den abschließenden Domain-Anteil) oder für den privaten Gebrauch reservierte IP-Adressen beinhalten. Der Hintergrund hierfür ist eine Entscheidung des CA/Browser-Forums, über die hier schon im Beitrag Interne Domainnamen ausführlich berichtet wurde.

Da in VMware-Installationen aus verschiedenen Gründen auch gerne auf die für den privaten Gebrauch reservierten IP-Adressen (z. B. 10.x.y.z, siehe auch RFC 1918) zurückgegriffen wird und das „SSL Certificate Automation Tool“ außerdem sowohl diese IP-Adressen als auch die kurzen Host-Namen (VMware-Terminologie „short name“) mit in die erzeugten CSRs aufnimmt, kommt es bei der Zertifikatantragstellung bei der DFN-PKI zu Fehlermeldungen über im CSR enthaltene nicht erlaubte Namen. Zertifikatanträge mit derartigen CSRs werden schon im Vorfeld aussortiert und nicht angenommen.

Je nach lokaler Situation kann nun das zum „SSL Certificate Automation Tool“ gehörende Skript ./tools/generate-cdr.bat dahingehend angepasst werden, dass die erzeugten CSRs wieder in Zertifikatanträgen angenommen werden.

Im Skript generate-cdr.bat muss die Zeile 33 (Stand: Version 5.5)

echo subjectAltName = IP:%gen_cert_server_ip%, DNS:%gen_cert_server_short_name%, DNS:%gen_cert_server_fqdn% >> %csr_config_file_name%

folgendermaßen angepasst werden:

In jedem Fall muss der Teil DNS:%gen_cert_server_short_name%, entfernt werden, damit keine kurzen Host-Namen mehr in die erzeugten CSRs aufgenommen werden.

Falls die VMware-Server IP-Adressen aus den für den privaten Gebrauch reservierten IP-Adressbereichen benutzen, so muss ebenfalls der Teil IP:%gen_cert_server_ip%, aus der Zeile entfernt werden, damit diese IP-Adressen nicht mehr in die erzeugten CSRs aufgenommen werden.

In letzterem Fall sieht die geänderte Zeile 33 im Skript generate-cdr.bat dann wie folgt aus:

echo subjectAltName = DNS:%gen_cert_server_fqdn% >> %csr_config_file_name%

(rkm, 23.11.2015)

Interne Domainnamen

In einigen Einsatzszenarien ist es nützlich oder sogar erforderlich, Web- oder sonstige Server mit Zertifikaten für interne Domainnamen wie „mail.local“ oder reservierte IP-Adressen wie 192.168.6.1 auszustatten.

Da diese Daten aber nicht eindeutig einem einzigen Server zugeordnet sind, ist die Existenz und die Nutzung solcher Zertifikate unter einer öffentlich vertrauten im Browser vorinstallierten CA wie der DFN-PKI (Sicherheitsniveau „Global“) ein potentielles Sicherheitsrisiko.

Daher schreiben die Baseline Requirements des CA/Browser-Forums schon seit einiger Zeit vor, dass solche Zertifikate nur noch mit einer maximalen Laufzeit bis 30.10.2015 ausgestellt werden.  Am 1.10.2016 müssen alle noch gültigen betroffenen Zertifikate, die eventuell früher mit einer längeren Laufzeit ausgestellt wurden, gesperrt werden.

Lässt sich die Verwendung von internen Domainnamen oder reservierten IP-Adressen in Zertifikaten nicht vermeiden (z.B. durch Umbenennungen), so müssen diese in Zukunft von nicht im Browser vorinstallierten CAs ausgestellt werden.

Eine ausführliche Beschreibung und weitere Hinweise zu dieser Problematik finden Sie in folgendem Dokument: https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Interne-Namen.pdf

Vom CA/Browser-Forum steht ebenfalls ein Dokument mit Hinweisen zur Verfügung: https://cabforum.org/wp-content/uploads/Guidance-Deprecated-Internal-Names.pdf

(jbr, 05.02.2015)