neues aus der dfn-pki · 62. betriebstagung des dfn-vereins folie 2 Überblick aktuelles eidas ocsp...
TRANSCRIPT
Neues aus der DFN-PKI
Jürgen [email protected]
62. Betriebstagung des DFN-Vereins Folie 2
Überblick
Aktuelles eIDAS OCSP Stapling HTTP Security Header DFN-PKI: Änderungen 2015
62. Betriebstagung des DFN-Vereins Folie 3
Aktuelles
TÜViT Audit 2014 abgeschlossen.Audit-Besuche bei Anwendern sehr erfolgreich, vielen Dank!
Änderungen Dezember 2014 für DFN-PKI Global:Serverzertifikate enthalten keine Mailadressen
mehrOCSP-URL in allen Nutzerzertifikate
62. Betriebstagung des DFN-Vereins Folie 4
eIDAS
62. Betriebstagung des DFN-Vereins Folie 5
eIDAS
„Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG“ => eIDAS Regulation, Nr. 910/2014 Nachfolger der EU Signaturrichtline
(relevant für qualifizierte Signaturen) Im September 2014 in Kraft getreten Direkt rechtsgültig, keine Interpretation durch
nationale Gesetzgebung Aber: Erfordert Begleitgesetze, die es noch nicht
gibt
62. Betriebstagung des DFN-Vereins Folie 6
eIDAS
Viel umfassender als alte Signaturrichtlinie: eID (wie im Neuen Personalausweis)
=> Hochschulen ab 2018 betroffen? qualifizierte Zertifikate/Signaturen „qualifizierte Webserverzertifikate“ Zeitstempel „Electronic Seals“ „Trust Service Provider“
=> Auch DFN-PKI betroffen?
62. Betriebstagung des DFN-Vereins Folie 8
eIDAS
Termine:
17.09.2014: Inkrafttreten von eIDAS01.07.2016: Regeln für Trust Service Provider treten in Kraft18.09.2018: Gegenseite Anerkennung von eID verpflichtend
62. Betriebstagung des DFN-Vereins Folie 9
OCSP Stapling
62. Betriebstagung des DFN-Vereins Folie 10
OCSP Stapling
Herkömmliche Sperr-prüfung mit OCSP:
Nachteile:Privacy, Latenz,evtl. Konnektivität
Herkömmliche Sperr-prüfung mit OCSP:
62. Betriebstagung des DFN-Vereins Folie 11
OCSP Stapling
Lösung: OCSP-Stapling
Server liefert „Selbst-auskunft“ an Browser
62. Betriebstagung des DFN-Vereins Folie 12
OCSP Stapling
Implementiert in: Apache >=2.3.3 nginx >=1.3.7 IIS seit Windows Server 2008 (Default!)
Konfig Apache:
Zu beachten: SSLStaplingCache außerhalb von VirtualHost SSLCACertificateFile muss konfiguriert sein DNS und Firewall vom Server zum OCSP-Responder?
SSLStaplingCache shmcb:/tmp/stapling_cache(102400) SSLUseStapling on SSLStaplingReturnResponderErrors off
62. Betriebstagung des DFN-Vereins Folie 13
OCSP Stapling
Testen: SSL Labs Oder mit openssl:
# openssl s_client -connect www.example.org:443 -status
CONNECTED(00000003)
depth=3 C = DE, O = Test, CN = Test Root
verify error:num=19:self signed certificate in certificate chain
verify return:0
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
[...]
62. Betriebstagung des DFN-Vereins Folie 14
HTTP Security Header
62. Betriebstagung des DFN-Vereins Folie 15
HTTP Security Header
Ziel: Sicherheitsfunktionen im Browser aktivieren Methode: HTTP-Header Z.B. nach OWASP „List of useful HTTP headers“
Verantwortlichkeit oft nicht klar:Server-Administration oder Software-Entwicklung?
=> Server-Administration kann durch Webserver-Konfiguration Sicherheitsfunktionen aktivieren
Testen nicht vergessen, Nebenwirkungen nicht ausgeschlossen... .
62. Betriebstagung des DFN-Vereins Folie 16
HTTP Security Header
Beispiel für Apache mit mod_headers:
Header always set \Strict-Transport-Security \
„max-age=15768000“Header always set \ X-Frame-Options SAMEORIGINHeader always set \ X-XSS-Protection „1; mode=block“Header always set \ X-Content-Type-Options nosniff
62. Betriebstagung des DFN-Vereins Folie 17
DFN-PKI: Änderungen 2015
62. Betriebstagung des DFN-Vereins Folie 18
DFN-PKI: Änderungen 2015
Änderungen im Sicherheitsniveau „Global“aufgrund von Fristen des CA/Browserforums:
Gültigkeit Serverzertifikate:Ab 01.04.2015 nur noch 39 Monate
Serverzertifikate für interne Domains/Hostnamen/reservierte IP-Adressen: Gültigkeit aktuell bis max. 01.11.2015 Sperrung aller evtl. früher ausgestellten derartiger
Zertifikate bis 01.10.2016 Dokument mit Erläuterungen verfügbar
62. Betriebstagung des DFN-Vereins Folie 19
Zusammenfassung
62. Betriebstagung des DFN-Vereins Folie 20
Zusammenfassung
eIDAS OCSP Stapling OWASP „List of useful HTTP headers“ Interne Domainnamen/reservierte IP-Adressen bald
nicht mehr in DFN-PKI „Global“