Neues aus der DFN-PKI

Ähnliche Dokumente
Neues aus der DFN-PKI. Jürgen Brauckmann

Neues aus der DFN-PKI. Jürgen Brauckmann

Neues aus der DFN-PKI. Jürgen Brauckmann

Neues aus der DFN-PKI. Jürgen Brauckmann

Neues aus der DFN-PKI. Jürgen Brauckmann

Erklärung zum Zertifizierungsbetrieb der UHH CA in der DFN-PKI. - Sicherheitsniveau: Global -

Neues aus der DFN-PKI. Jürgen Brauckmann

SSL-Zertifikate. Dr. Christopher Kunz

Neues aus der DFN-PKI. Jürgen Brauckmann

Studentenzertifikate für Online-Dienste der Fachhochschule Landshut

Studentenzertifikate für Online-Dienste der Hochschule Landshut

Neues aus der DFN-PKI. Jürgen Brauckmann

SLCS der DFN-PKI September Jürgen Brauckmann

- Sicherheitsniveau: Global -

der Uni Konstanz Server CA in der

Erklärung zum Zertifizierungsbetrieb der UNI-FFM CA in der DFN-PKI. - Sicherheitsniveau: Global -

MSXFORUM - Exchange Server 2010 > Zertifikat erstellen in Exchange 2010

Audit der DFN-PKI. Text: Jürgen Brauckmann (DFN-CERT GmbH), Dr. Ralf Gröper (DFN-Verein) 32 DFN Mitteilungen Ausgabe 84 Mai 2013 SICHERHEIT

Programmiertechnik II

Aufgaben des Teilnehmerservice v Aufgaben des Teilnehmerservice (TS) in der DFN-PKI im Sicherheitsniveau Global

Erklärung zum Zertifizierungsbetrieb der TU Ilmenau CA in der DFN-PKI

-Hygiene SPAM und Viren in den Briefkästen

Zeitstempel für digitale Dokumente. Ein neuer Dienst in der DFN-PKI

SPAM Was kann man als Einrichtung im DFN dagegen tun?

Installationsanleitung für die h_da Zertifikate

Praxisbericht Zertifizierung Digitale Nachweise in IT-Grundschutz- Zertifizierungsverfahren

TeleTrusT Bundesverband IT-Sicherheit e.v. Der IT-Sicherheitsverband. Selbsterklärung. zur Teilnahme an der TeleTrusT European Bridge CA

Auftrag SSL Webserver Zertifikate

Bonn, 22. Januar 2010 Rc/Ne/pa

Erklärung zum Zertifizierungsbetrieb der MDR CA in der DFN-PKI. - Sicherheitsniveau: Global -

Anleitung Praxisspiegel mit Safari und Mac OS X

digihelp IT Beratung Roland Stelling SPAM und Fishing Beispiel vom

Funktion USG 100 USG 200. Anzahl MAC Adressen 5 6. Flash size DRAM size Max. Anzahl VLAN Interface 32 32

Neues aus dem DFN-CERT. 62. DFN-Betriebstagung - Forum Sicherheit 02. März 2015 Christine Kahl

Einrichtung von radsecproxy. Dipl.-Math. Christian Strauf Rechenzentrum TU Clausthal

Moodle Update V 1.9.x V 2.4.x

Zertifikate von Servern, Hinweise für User

SSL-Authentisierung mit Nutzerzertifikaten

kommunikation: Erst die Vertrauenswürdigkeit schafft Sicherheit. Stefan Cink Produktmanager

Collax Web Application

Multifunktionale Chipkarte thoska+

Ihre Stimme für 7 % für Kinder!

User Manual nameserv.at

PEI-C Rebuild Das neue Einreichungsportal des PEI für Chargenfreigabeanträge Z3, Z5, 7/3 Einführung 17/19/24/

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

Wie richte ich mein Webhosting auf dem Admin Panel ein?

Verwaltung und Selbstverwaltung von Nutzern

smis_secure mail in der srg / pflichtenheft /

X.509v3 Zertifizierungsinstanz der Universität Würzburg

Sichere Kommunikation mit Ihrer Sparkasse

Heartbleed beats hard

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser

Henning Mohren Zertifikatsserver der Certification Authority (CA) Technische Spezifikation. Version 4.0. c 2005 FernUniversität in Hagen

DNS & DNSSEC. Simon Mittelberger. DNS und DNSSEC. Eine Einführung. 12. und 13. Januar, und 13. Januar, / 66

Digitale Identitäten in der Industrieautomation

Sichere Identitäten in Smart Grids

Erklärung zum Zertifizierungsbetrieb der UniBwM CA in der DFN-PKI. - Sicherheitsniveau: Global -

Ist das so mit HTTPS wirklich eine gute Lösung?

estos XMPP Proxy

Automatische Rotation von DKIM- Schlüsseln

Erklärung zum Zertifizierungsbetrieb der Uni Potsdam CA in der DFN-PKI. - Sicherheitsniveau: Global -

EgoSecure Mail Encryption Quick Setup Guide

Erklärung zum Zertifizierungsbetrieb der TU Dortmund Chipcard CA in der DFN-PKI. - Sicherheitsniveau: Global -

1 Einleitung. 2 Vorbereitung 2.1 Firewall. 3.1 Einschalten und Anschliessen. 3.2 Erstes Login. 3.3 Admin-Passwort ändern. 3.

PKI-Kooperationen. Fallstudie: FernUniversität in Hagen

Ein Überblick über Security-Setups von E-Banking Websites

GEWAN Anleitung zum Ausschalten der Java- Sicherheitswarnungen unter Windows 7

Office 365 & Windows Server Ein Blick über den Tellerrand. René M. Rimbach Raphael Köllner

Anleitung. Supplier Web Portal

PKI-Kooperationen zwischen Hochschulen und externen Einrichtungen. Fallstudie HypoVereinsbank FernUniversität

Pfarrpaket Ersteinstieg Citrix NetScaler Gateway

Mail encryption Gateway

SSL-geschützte Verbindungen mit dem "Internet Information Server" (IIS) unter Windows Server 2003

Anleitung zur Registrierung am BZStOnline-Portal (BOP) und fachlichen Zulassung zum Verfahren KISTA

Gefahren aus dem Internet 1 Grundwissen April 2010

Zurich MyLearning. Erste Schritte und Systemvoraussetzungen. Zurich MyLearning Erste Schritte und Systemvoraussetzungen Seite 1 von 11

-Signierung und Verschlüsselung mit Zertifikaten

PROVIDERWECHSEL mit AuthInfo zu DENICdirect

Anleitung zur Nutzung von OpenSSL in der DFN-PKI

New Secure Mail Gateway

Beantragen und installieren eines Nutzerzertifikats der CA HS-Bochum - Basic

Konfigurationsanleitung Konfiguration unter Outlook XP

Domain Registration Robot mit E Mail

fãéçêíáéêéå=éáåéë=`äáéåíjwéêíáñáâ~íë= áå=çéå=_êçïëéê=

Anleitung zur Benutzung des Internen Bereiches

Erklärung zum Zertifizierungsbetrieb der DHBW CA in der DFN-PKI. - Sicherheitsniveau: Global -

Spam und SPIT. Moritz Mertinkat mmertinkat AT rapidsoft DOT de. Aktuelle Schutzmöglichkeiten und Gegenmaßnahmen

Anleitung für Kaufkunden, bei denen der CLIQ Web Manager nicht permanent mit dem CLIQ Data Center (DCS) verbunden sind

Für die Ausgabe der Zertifikate betreibt die Hochschule Ulm eine Registrierungsstelle (RA).

Einführung in X S/MIME

SSL Zertifikat Bestellung

Stephan Groth (Bereichsleiter IT-Security) CIO Solutions. Zentrale -Verschlüsselung und Signatur

SecurityGateway. Installationsanleitung

Verwendung von DynDNS

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

Sichere Kommunikation im Netz mit Zertifikaten: Albtraum oder etablierte Technik? Dr. Simon Hoff,

Aufbau einer AAI im DFN. Ulrich Kähler, DFN-Verein

Praxis der Datenkommunikation am

How- to. E- Mail- Marketing How- to. Subdomain anlegen. Ihr Kontakt zur Inxmail Academy

Secure Sicherheit in der Kommunikation

Transkript:

Neues aus der DFN-PKI 68. Betriebstagung 14.03.2017 Jürgen Brauckmann

Agenda 1. Aktuelles Änderungen zum 26.02. Policy-Versionen Java >=9 DSGVO 2. Validierung von Domains 3. Fazit und Ausblick

Aktuelles

Änderungen zum 26.02.2018 Certificate Transparency Serverzertifikate werden nun stets in CT-Logs veröffentlicht Serverzertifikate enthalten Embedded SCT => Funktionieren weiterhin in Chrome ohne Konfigurationsänderung vom Webserver Aktuell benutzte Logs: Google, Comodo, NORDUnet Laufzeit Serverzertifikate begrenzt auf 825 Tage (ca. 27.5 Monate) Tendenz/Wunsch von Browserherstellern nach weiterer Verkürzung.... 14.03.2018 Neues aus der DFN-PKI 5

Policy-Versionen DFN-PKI Sicherheitsniveau Global : Version 3.7 (15.02.2018) Änderungen: Formalia für das Audit Anforderung von TÜViT Version 3.8 (19.03.2018) Änderungen: Domain-Validierungsverfahren Anforderung vom CA/Browser-Forum 14.03.2018 Neues aus der DFN-PKI 6

Java >= 9 Java 8: Updates von Oracle für nicht-private Nutzung bis Januar 2019 RA-Oberfläche noch nicht 100%ig Java-9-bereit Hauptproblem: Inkompatible API-Änderungen bei Token/PKCS#11 DFN-PCA arbeitet daran 14.03.2018 Neues aus der DFN-PKI 7

DSGVO Besonders betroffen: Einverständniserklärung auf dem Antragsformular Prüfung, ob/welche Änderungen erforderlich sind, läuft 14.03.2018 Neues aus der DFN-PKI 8

Veranstaltungen Ausbildung zum Informations-Sicherheitsbeauftragten 10. - 12. April 2018 (Block I) 28./29. Mai 2018 (Block II) 30. Mai 2018 (Prüfung) Hamburg 7. DFN-Konferenz Datenschutz 20./21. November 2018, Hamburg 14.03.2018 Neues aus der DFN-PKI 9

Validierung von Domains

Validierung von Domains Bisher: Teilnehmerservice trägt gewünschte Domain in der Java RA-Oberfläche ein DFN-PCA prüft gegen WHOIS Wenn Einrichtung Domaininhaber, Admin-C, Tech-C: Direkt Freischaltung Sonst: Domainauthorisierungschreiben Nach Freischaltung 825 Tage lang gültig DFN-PCA kümmert sich um erneute Prüfung vor Ablauf von 825 Tagen 14.03.2018 Neues aus der DFN-PKI 11

Validierung von Domains Entwicklung CA/Browserforum: Diskussion seit 19. Dezember, angestoßen von Digicert: Kritik: Daten im WHOIS prinzipiell unzuverlässig 3. Januar: Plötzlicher Entwurf, die bisherigen Validierungen zum 1. März als ungültig anzusehen => DFN-PKI wäre lahmgelegt 6. Februar: Beschluss mit veränderter Deadline 1. August Zusätzliche Komplikation: WHOIS vs. DSGVO 14.03.2018 Neues aus der DFN-PKI 12

Validierung von Domains Konsequenz: DFN-PCA arbeitet mit Hochdruck an alternativen Verfahren Erstes Alternativ-Verfahren: E-Mail-Challenge Ebenfalls denkbar: Challenge im DNS, Challenge auf einem Webserver Nachteil aller Alternativ-Verfahren: Teilnehmer müssen selbst mehr tun! Werkzeugunterstützung notwendig Umstellung direkt auf ACME/Let's Encrypt-Protokoll keine kurzfristige Alternative. (Organisationsvalidierung nicht direkt vorgesehen) 14.03.2018 Neues aus der DFN-PKI 13

Validierung von Domains Zukünftiger Ablauf mit Verfahren E-Mail-Challenge : Teilnehmerservice trägt gewünschte Domain in der Java RA-Oberfläche ein Teilnehmer wählt Challenge-E-Mail-Adresse aus (Im Ausnahmefall auch E-Mail-Adresse aus WHOIS möglich) DFN-PCA sendet signierte Challenge-E-Mail Empfänger muss Link aufrufen, danach ist die Domain freigeschaltet Vor Ablauf von 825 Tagen muss der Teilnehmer selbst tätig werden (Warn-E- Mails werden verschickt werden) 14.03.2018 Neues aus der DFN-PKI 14

Validierung von Domains From: dfnpki-mailsender-noreply@dfn-cert.de To: webmaster@uni-xyz.de Subject: DFN-PKI: Validierung des Domainnamens uni-xyz.de Sehr geehrte Damen und Herren, Sie bekommen diese E-Mail, weil Sie für die Domain uni-xyz.de Serverzertifikate in der CA dfn-ca-global-g2, RA 5200 beziehen wollen. Öffnen Sie zum Bestätigen bitte folgende Seite: https://pki.pca.dfn.de/eva/domain/ca-xyz/74c98445p7f73q11c5-b6a0q9ba437e Weitere Informationen erhalten Sie unter https://www.pki.dfn.de/faqpki/domains Für Rückfragen können Sie sich gerne an dfnpca@dfn-cert.de wenden. Mit freundlichen Grüßen Ihr DFN-PKI-Team 14.03.2018 Neues aus der DFN-PKI 15

Validierung von Domains Mögliche Challenge-E-Mail-Adressen: local-part: admin@, administrator@, webmaster@, postmaster@, hostmaster@ domain-part: Jede Variante bis zur Base-Domain. Beispiel: Bei gewünschter Domain inst1.inf.uni-xyz.de sind möglich: @inst1.inf.uni-xyz.de @inf.uni-xyz.de @uni-xyz.de Alternative für den Notfall: E-Mail-Adressen aus WHOIS (Schwierigkeiten absehbar wg. DSGVO) 14.03.2018 Neues aus der DFN-PKI 16

Validierung von Domains Vor- und Nachteile E-Mail-Challenge : Vorteil: Sollte in allen Betriebssituationen machbar sein Nachteil: MX und vordefinierte E-Mail-Adresse müssen vorhanden sein Andere Verfahren brauchen noch mehr Werkzeugunterstützung... 14.03.2018 Neues aus der DFN-PKI 17

Validierung von Domains Zeitplan: Juni: Technische Voraussetzungen für neues Verfahren E-Mail-Challenges fertig Juni/Juli: DFN-PCA fordert Teilnehmer auf, alle benötigten Domains neu mit E-Mail-Challenge zu validieren 1. August: Domains, die nicht erneut mit neuem Verfahren validiert wurden, können nicht mehr in neuen Serverzertifikaten genutzt werden. (bestehende Zertifikate bleiben gültig) 14.03.2018 Neues aus der DFN-PKI 18

Fazit und Ausblick

Fazit und Ausblick Java >= 9, DSVGO: Ist in Arbeit Domain-Validierung: Es wird für Sie aufwändiger Potentiell schnellere Domain-Validierungen, keine Brief-Post mehr Sie müssen vor dem Stichtag 1. August Ihre Domains mit neuen Methoden validieren lassen...aber erst muss die DFN-PCA die Werkzeuge fertigstellen... 14.03.2018 Neues aus der DFN-PKI 20

Haben Sie noch Fragen? Kontakt: DFN-PCA dfnpca@dfn-cert.de https://www.pki.dfn.de https://blog.pki.dfn.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback