Neues aus der DFN-PKI · 62. Betriebstagung des DFN-Vereins Folie 2 Überblick Aktuelles eIDAS OCSP Stapling HTTP Security Header DFN-PKI: Änderungen 2015

Neues aus der DFN-PKI

Jürgen [email protected]

62. Betriebstagung des DFN-Vereins Folie 2

Überblick

Aktuelles eIDAS OCSP Stapling HTTP Security Header DFN-PKI: Änderungen 2015


Aktuelles

TÜViT Audit 2014 abgeschlossen.Audit-Besuche bei Anwendern sehr erfolgreich, vielen Dank!

Änderungen Dezember 2014 für DFN-PKI Global:Serverzertifikate enthalten keine Mailadressen

mehrOCSP-URL in allen Nutzerzertifikate


eIDAS


eIDAS

„Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG“ => eIDAS Regulation, Nr. 910/2014 Nachfolger der EU Signaturrichtline

(relevant für qualifizierte Signaturen) Im September 2014 in Kraft getreten Direkt rechtsgültig, keine Interpretation durch

nationale Gesetzgebung Aber: Erfordert Begleitgesetze, die es noch nicht

gibt


eIDAS

Viel umfassender als alte Signaturrichtlinie: eID (wie im Neuen Personalausweis)

=> Hochschulen ab 2018 betroffen? qualifizierte Zertifikate/Signaturen „qualifizierte Webserverzertifikate“ Zeitstempel „Electronic Seals“ „Trust Service Provider“

=> Auch DFN-PKI betroffen?


eIDAS

Termine:

17.09.2014: Inkrafttreten von eIDAS01.07.2016: Regeln für Trust Service Provider treten in Kraft18.09.2018: Gegenseite Anerkennung von eID verpflichtend


OCSP Stapling


OCSP Stapling

Herkömmliche Sperr-prüfung mit OCSP:

Nachteile:Privacy, Latenz,evtl. Konnektivität

Herkömmliche Sperr-prüfung mit OCSP:


OCSP Stapling

Lösung: OCSP-Stapling

Server liefert „Selbst-auskunft“ an Browser


OCSP Stapling

Implementiert in: Apache >=2.3.3 nginx >=1.3.7 IIS seit Windows Server 2008 (Default!)

Konfig Apache:

Zu beachten: SSLStaplingCache außerhalb von VirtualHost SSLCACertificateFile muss konfiguriert sein DNS und Firewall vom Server zum OCSP-Responder?

SSLStaplingCache shmcb:/tmp/stapling_cache(102400) SSLUseStapling on SSLStaplingReturnResponderErrors off


OCSP Stapling

Testen: SSL Labs Oder mit openssl:

# openssl s_client -connect www.example.org:443 -status

CONNECTED(00000003)

depth=3 C = DE, O = Test, CN = Test Root

verify error:num=19:self signed certificate in certificate chain

verify return:0

OCSP response:

======================================

OCSP Response Data:

OCSP Response Status: successful (0x0)

Response Type: Basic OCSP Response

[...]


HTTP Security Header



Ziel: Sicherheitsfunktionen im Browser aktivieren Methode: HTTP-Header Z.B. nach OWASP „List of useful HTTP headers“

Verantwortlichkeit oft nicht klar:Server-Administration oder Software-Entwicklung?

=> Server-Administration kann durch Webserver-Konfiguration Sicherheitsfunktionen aktivieren

Testen nicht vergessen, Nebenwirkungen nicht ausgeschlossen... .



Beispiel für Apache mit mod_headers:

Header always set \Strict-Transport-Security \

„max-age=15768000“Header always set \ X-Frame-Options SAMEORIGINHeader always set \ X-XSS-Protection „1; mode=block“Header always set \ X-Content-Type-Options nosniff


DFN-PKI: Änderungen 2015


DFN-PKI: Änderungen 2015

Änderungen im Sicherheitsniveau „Global“aufgrund von Fristen des CA/Browserforums:

Gültigkeit Serverzertifikate:Ab 01.04.2015 nur noch 39 Monate

Serverzertifikate für interne Domains/Hostnamen/reservierte IP-Adressen: Gültigkeit aktuell bis max. 01.11.2015 Sperrung aller evtl. früher ausgestellten derartiger

Zertifikate bis 01.10.2016 Dokument mit Erläuterungen verfügbar


Zusammenfassung


Zusammenfassung

eIDAS OCSP Stapling OWASP „List of useful HTTP headers“ Interne Domainnamen/reservierte IP-Adressen bald

nicht mehr in DFN-PKI „Global“

[email protected]

Documents

Neues aus der DFN-PKI · 62. Betriebstagung des DFN-Vereins Folie 2 Überblick Aktuelles eIDAS OCSP Stapling HTTP Security Header DFN-PKI: Änderungen 2015