Neues aus der DFN-PKI · Umstellung auf OpenJDK und Download-Archiv funktioniert gut Hauptproblem:...
30
Transcript of Neues aus der DFN-PKI · Umstellung auf OpenJDK und Download-Archiv funktioniert gut Hauptproblem:...
Neues aus der DFN-PKI
70. Betriebstagung | 19.03.2019
Jürgen Brauckmann
Agenda
1. Statistik
2. Ablauf der Gen. 1 DFN-PKI
3. Validierung von IP-Adressen
4. OCSP-Betriebsstörung
5. Incidents
6. DFN-PKI Diskussions-Mailingliste
7. Geplante Downtime Antragsstellung
8. Fazit und Ausblick
Statistik
Validierungsdienste:
▸ cdp.pca.dfn.de:
▹ Ca. 3,5 Millionen Hits/Tag, ca. 61 GB/Tag
▹ IPv6-Anteil: 18%
▹ Tendenz: Leicht sinkend(vor allem IPv6-Abfragen -20% im Vergl. zu April 2018)
▸ ocsp.pca.dfn.de:
▹ Ca. 9,5 Millionen Hits/Tag, ca. 14 GB/Tag
▹ IPv6-Anteil: 26%
▹ Tendenz: +1 Millionen Hits pro Jahr seit 2015
19.03.2019 Neues aus der DFN-PKI 5
Stat ist ik
Zertifikate:
▸ Global G2:
▹ 455.000 ausgestellte Zertifikate (seit 2016)
▹ Davon Serverzertifikate 60.000 Nutzerzertifikate 395.000
▹ Sperrquote 17%
▸ Global G1:
▹ 1.4 Millionen ausgestellte Zertifikate (seit 2007)
▹ Davon Serverzertifikate 150.000 Nutzerzertifikate 1.250.000
▹ Sperrquote 26%
19.03.2019 Neues aus der DFN-PKI 6
Stat ist ik
Ablauf der 1. Generation der DFN-PKI
▸ Ende Juni/9. Juli (je nach CA):
Ablauf G1 „Deutsche Telekom Root CA 2“
▸ Seit 02.09.2018:
Anzahl der gültigen Zertifikate in der G2 > G1
▸ Größtes Thema: eduroam
Siehe auch [email protected] und AK Mobile IT
19.03.2019 Neues aus der DFN-PKI 8
Ablauf der 1. Generat ion der DFN-PKI
Ablauf SHA-1-CAs
▸ Thema: Ablauf von alten SHA-1-CA-Zertifikaten, die früher ablaufen
als ihre SHA-2-Pendants
19.03.2019 Neues aus der DFN-PKI 9
Ablauf der 1. Generat ion der DFN-PKI
SHA-1 CA-Zertifikat:14.02.2007 -------------------------> 13.02.2019
SHA-2 CA-Zertifikat: 25.03.2014 -------------------------> 30.06.2019
Server beispiel.dfn-cert.de: 27.08.2017 ------------> 30.06.2019
Ablauf SHA-1-CAs
▸ Potentielles Problem, wenn Zertifikatketten nicht ausgetauscht wurden
▸ Vom 19.3. -30.6. noch 46 CAs betroffen
▸ Info verfügbar unter Blogartikel
„Ablauf der alten Generation 1 der DFN-PKI Global“
https://blog.pki.dfn.de/2018/12/ablauf-der-alten-generation-1-der-
dfn-pki-global/
19.03.2019 Neues aus der DFN-PKI 10
Ablauf der 1. Generat ion der DFN-PKI
Validierung von IP-Adressen
Neues aus dem CA/Browser-Forum:
▸ Ballot SC7 (09.02.19): Validierungsverfahren für IP-Adressen werden
zum 01.08.2019 umgestellt
▸ Wieder: Reine Kontrolle von WHOIS oder Datenbanken durch PCA
reicht nicht mehr; Rückfrage erforderlich
▸ Aktuell ca. 1% der gültigen Serverzertifikate mit IP-Adressen
(Notwendigkeit?)
19.03.2019 Neues aus der DFN-PKI 12
Val idierung von IP-Adressen
Geplantes Verfahren:
▸ Ansprechpartner (HP, TSMA) meldet aufzunehmende IP-Adressen per E-Mail
an PCA
▸ PCA schaut ins WHOIS und holt Einverständnis von admin-c oder tech-c ein:
▹ per E-Mail (oder Fax, SMS, Papier-Post)
▹ per Telefonanruf
▸ Nur echte Personen in admin-c/tech-c kontaktieren, oder auch Rollen?
▸ Freischaltung wie gehabt für 825 Tage gültig
▸ Technik-Unterstützung in Java RA-Oberfläche aktuell nicht möglich
19.03.2019 Neues aus der DFN-PKI 13
Val idierung von IP-Adressen
OCSP-Betriebsstörung
Donnerstag, 14.03.19:
▸ 10:38 Uhr: Regulärer Austausch von OCSP-Responderzertifikaten,
viele Male vorher problemlos durchgeführt. Gesamtsystem auf
Stand+Patches wie Juni 2018 (letzter erfolgreicher Durchlauf)
▸ Diesmal: Das System signiert Responses mit dem neuen PrivKey, legt
aber das alte OCSP-Zertifikat bei.
=> Responses können nicht validiert werden
=> Webseiten in Firefox, teilw. Safari unzugänglich
=> Problem auch in Chrome, wenn OCSP-Stapling im Webserver
aktiviert ist
19.03.2019 Neues aus der DFN-PKI 15
OCSP-Betr iebsstörung
▸ Problem aufgedeckt durch: Internes Monitoring, eigene gestörte
Dienste, Ihre Anrufe/Mails
▸ Schwierigkeit: Vorproduktion von Responses, dadurch lange
Durchlaufzeiten
▸ 11:35 Uhr: Erneuerung der Responses mit altem Zustand
PrivKey/OCSP-Zertifikate wieder gestartet
▸ 12:51 Uhr: Alles wieder grün (Störungsstart 10:38 Uhr)
19.03.2019 Neues aus der DFN-PKI 16
OCSP-Betr iebsstörung
Incidents
Meldepflicht für Probleme bei Mozilla
▸ Aktuell Level-Verschiebung bei Umsetzungstreue von Standards
▸ Incidents müssen dem Root-Programm von Mozilla gemeldet werden
▹ Falsche Domainvalidierungen, falsche Daten
▹ Syntaxfehler
▹ usw. usf.
=> Große Zahl an Reports auf mozilla.dev.security.policy
19.03.2019 Neues aus der DFN-PKI 18
Incidents
DFN-PKI IDNA-Vorfall:
▸ Verpflichtung zur Überprüfung von IDNA-Kodierungen in Servernamen in
Zertifikaten?
domäne.de => xn--domne-ira.de
▸ Auch: Konflikt IDNA 2003 vs IDNA 2008
beispiel-mit-ss.de vs. xn--beispiel-mit--ndb.de
▸ DFN-PKI überprüft seit Herbst 2018 auf IDNA 2003
▸ Meldung durch Forscher am 21.1.19 über 4 davor ausgestellte Zertifikate
▸ Klassifizierung als Incident, Meldung bei Mozilla
▸ Resultat: Nach Diskussion als „Invalid“ geschlossen
19.03.2019 Neues aus der DFN-PKI 19
Incidents
DFN-PKI Bremerhaven-Vorfall:
▸ PCA richtet im Herbst 2018 eine RA für Einrichtung in Bremerhaven
ein. Dokumente liegen vor, Adresse bestätigt.
▸ Bei Erstellen der Konfiguration wird (entgegen der vorliegenden
Informationen) L=Bremerhaven, ST=Niedersachsen eingetragen.
▸ März 2019: Einrichtung meldet sich. Ca. 40 Zertifikate austauschen
usw.
▸ Klassifizierung als Incident, Meldung bei Mozilla
19.03.2019 Neues aus der DFN-PKI 20
Incidents
63 Bit Seriennummern (nicht DFN-PKI)
▸ Nach Richtlinien: Seriennummer muss 64 Bit Zufallszahlen enthalten
▸ ASN.1-Integer: Oberstes Bit ist Vorzeichen
=> 8 Byte ASN.1-Seriennummer hat nur 63 Bit
▸ Standard-Konfiguration in EJBCA
▸ Massensperrungen bei Apple (>500.000), Google (8000), Godaddy,...
▸ DFN-PKI nicht betroffen
19.03.2019 Neues aus der DFN-PKI 21
Incidents
Java und die RA-Oberfläche
Bisherige Erfahrungen:
▸ Umstellung auf OpenJDK und Download-Archiv funktioniert gut
▸ Hauptproblem: Konfiguration von Proxies
▸ Noch kein Datum für Abkündigung der Java WebStart Version.
(Evtl. Mitte 2019?)
19.03.2019 Neues aus der DFN-PKI 23
Java und die RA-Oberf läche
DFN-PKI Diskussions-Mailingliste
▸ Diskussion von Problemen und Lösungsvorschlägen rund um die PKI
▸ Unmoderiert
▸ Anmelden unter
https://www.listserv.dfn.de/sympa/info/dfnpki-d =>
19.03.2019 Neues aus der DFN-PKI 25
DFN-PKI Diskussions-Mai l ingl iste
Geplante Downtime Antragsstellung
▸ Plattform-Migration des Clusters für Antragsstellung und
Teilnehmerservice (auch: SOAP/WebServices) steht an
▸ ra.pca.dfn.de und pki.pca.dfn.de an einem Wochenende Ende
Mai/Anfang Juni nicht verfügbar!
▸ Validierungsdienste CRL/OCSP selbstverständlich nicht betroffen
▸ Konkretes Datum folgt auf dfn-pki-wartung@/dfnpki-d@
19.03.2019 Neues aus der DFN-PKI 27
Geplante Downtime Antragsstel lung
Fazit und Ausblick
▸ Umstellung bei IP-Adress-Validierung
▸ Neu: [email protected]
Anmelden unter
https://www.listserv.dfn.de/sympa/info/dfnpki-d =>
▸ Geplante Downtime ra.pca.dfn.de/pki.pca.dfn.de
(konkretes Datum auf dfn-pki-wartung@/dfnpki-d@)
19.03.2019 Neues aus der DFN-PKI 29
Fazit und Ausbl ick
Blog: https://blog.pki.dfn.de
