[NEUHEIT] Neues Leistungsmerkmal - Datenschutzseite und autom. Erneuerung TLS Zertifikat

Neue Produkte, Rollouts, Änderungen, Aktionen

Ersteller
StefanW
Elaborated Networks
Reactions:
Beiträge: 4527
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Grafing
Hat sich bedankt: 2086 Mal
Danksagung erhalten: 3458 Mal
Kontaktdaten:

Neues Leistungsmerkmal - Datenschutzseite und autom. Erneuerung TLS Zertifikat

#1

Beitrag von StefanW »

Verehrte Kunden,

mit der nächsten Version V 1.6 RC 5 führen wir ein neues Leistungsmerkmal ein:

Datenschutzoptionen und automatische Erneuerung der Zertifikate für TLS-Zugriff


Meuterei der Browser:

Führende Browserhersteller haben im ersten Halbjahr 2020 beschlossen, dass TLS Zertifikate, die ab dem 1. September 2020 ausgestellt werden, nur noch eine maximale Gültigkeit von 13 Monate (398 Tage) aufweisen dürfen.

Eigentlich wurden solche Vereinbarungen bislang demokratisch im "CA/B Forum" (das ist eine informelle Gruppe, die sich aus etwa 50 Zertifizierungsstellen und den tonangebenden Browser Hersteller zusammensetzt und seit 2005 die Regeln festsetzt) beschlossen.

Noch vor 15 Jahren betrug die Lebensdauer eines Zertifikates bis zu 8 Jahre. Manchen Browser-Herstellern war dies viel zu lang und daher hatte man sich über Verkürzungen auf fünf und dann auf drei Jahre letztlich im März 2018 darauf geeinigt, die Gültigkeit nun auf zwei Jahre zu beschränken.

Die Zertifizierungsstellen waren zunächst guter Hoffnung, das man einen tragfähigen Kompromiss auf Dauer erreicht hätte.

Jedoch waren manche Browser Hersteller mit dem Kompromiss nicht zufrieden. Bereits im September 2019 kam er zu einer erneuten - von Google initiierten - Abstimmung über eine Beschränkung der Gültigkeit auf ein Jahr. Allerdings votierten zwar 100% der Browser-Hersteller, aber nur 35% der Zertifizierungsstellen dafür.

Die Browser Hersteller waren wohl unzufrieden und so brach Apple im Februar 2020 mit dem 15 Jahre alte Abstimmungsverfahren und gab die Entscheidung bekannt, dass seine Browser am 1. September künftig nur noch Zertifikate mit einer Lebensdauer von 398 Tagen akzeptieren würden. Unabhängig davon, was man im CA/B Forum im März 2018 gemeinsam beschlossen hatte. Nur zwei Wochen später kündigte Mozilla das gleiche an und am 10. Juni 2020 wurde verkündet, dass Chrome sich ebenfalls anschließen wird und damit für die Prüfung der Zertifikatsgültigkeit diese 398 Tage Regel implementieren würde. Vermutlich wird sich Microsoft anschließen, da der neue Edge Browser auf Chromium basiert.

Damit wurde eine informelle aber dennoch demokratisch initiierte Gruppe (für eine Änderung sind 100% der Browser-Stimmen und 75% der CA-Stimmen erforderlich) mit Ihren Entscheidungen ad absurdum geführt, weil die drei größten Browserhersteller einfach ihre Marktmacht nutzen und solche Entscheidungen "per Dekret" fällen. Wenige Firmen für das gesamte Internet. :shock:

Allerdings haben die Zertifizierungsstellen einen gewissen Anteil an der Meuterei, weil das Thema "Zurückziehen ungültig gewordener oder missbrauchter Zertifikate" nie richtig funktionierte und es den Anschein hatte, als wolle man sich von Seiten der Zertifizierungsstellen darum auch nicht so wirklich richtig bemühen. Die Zeit hatte auch gezeigt, dass immer wieder massive Verstöße bei CAs entdeckt wurden und das Problem bestand, wie man deren Zertifikate auch ohne Browser-Updates aus dem Umlauf bekommt.

Die CA hatten dagegen argumentiert, dass dies überhaupt nichts helfen werde, da Malware Anbieter ohnehin ein Zertifikat nur einmal verwenden würden und diese ganze Verschärfung letztlich viele Ressourcen bei IT Abteilungen binden wird. Sehr richtig, zum Beispiel bei uns....

Früher betrafen solche Änderungen nicht Zertifikate von privaten Zertifizierungsstellen, aber nun sind ALLE Zertifikate betroffen. Hurra.


Anpassungen für den Timberwolf Server:

Mit RC5 zur V 1.6 implementieren wir ein neues Leistungsmerkmal: Die automatische Erneuerung von TLS Zertifikaten durch unsere eigene Certificate Authority. Zugleich etablieren wir damit eine "Datenschutz" Seite, damit die Nutzer sämtliche Verbindungen zwischen dem Timberwolf Server und dem Internet sowie zur "Timberwolf Server Cloud" einsehen und auch kontrollieren können.

Selbstverständlich kann der Kunde dies alles (wie bisher auch) abschalten bzw. nicht nutzen bzw. den Server in einer isolierten Umgebung betreiben. Wir haben nun nur noch einmal alles auf einer Seite zusammengefasst und zeigen in einer dynamischen Tabelle an, welche Verbindungen nun aktiv genutzt werden.

Der Server gehört dem Nutzer und daher soll er auch alleine darüber bestimmen was passiert und welche Daten ausgetauscht werden dürfen.


Bedienung / Nutzung:

Neue Datenschutz-Seite:

2020-09-10_Screen_Datenschutzeinstellungen.png

Auf dieser Seite sind alle Einstellungen bzw. der Link zu Einstellungen für sämtliche Verbindungen des Servers zum Internet verfügbar.



Erneuerung von Zertifikaten:

Dies erfolgt nun vollautomatisch und hierfür ist keine Bedienung erforderlich:

Prüfung / Erneuerung eines neues TLS Zertifikat

  • Der TWS überprüft künftig fünf Minuten nach einem Systemstart und anschließend einmal am Tag den Zeitstempel des Zertifikates
  • Wenn das Zertifikat weniger als 60 Tage (Genau: 60 * 3600 * 24 = 5.184.000 Sekunden) Laufzeit hat, dann wird der Prozess zur Erneuerung angestoßen
  • Hierbei wird lokal ein Schlüsselpaar berechnet, der dabei generierte Public Key als Certificate Signing Request ("CSR") formatiert und über einen verschlüsselten Kanal (dessen Keys sich auf dem internen HW Security Chip abstützen) in die Timberwolf Server Cloud ("TSC") hochgeladen.
  • Dort werden die CSR geprüft, in eine Datenbank eingetragen, eine neue Seriennummer erzeugt und von unserer Certificate Authority (bzw. einer RA davon) signiert. Der zentrale Server ist darauf ausgelegt, 1000 solcher Signierungen parallel ausführen zu können. Wenn mehr notwendig ist, werden weitere Instanzen gestartet.
  • Anschließend wieder an den absendenden TWS zurückgesandt, dort umfangreich validiert, freier Speicherplatz geprüft und dann transaktionsorientiert das Zertifikat installiert und der Webserver über die Konfigurationsänderung informiert.


Angedachte Verbesserungen für die Zukunft
  1. Wir wollen die automatisch generierten Zertifikate künftig noch um die IP-Adresse erweitern. Hierzu ist noch ein Modul zu implementieren, dass eine Änderung an der IP des Timberwolf Servers automatisch erkannt wird und zu einem geänderten Zertifikat führt.
  2. Eine weitere angedachte Erweiterung ist, dass wir dem Kunden auch eigene Domains in Verbindung mit dem Hostnamen erlauben. Hier müssen wir noch nachdenken, dass damit kein Missbrauch möglich ist.
  3. Die dynamische Liste der Verbindungen zeigt im Moment nur die Verbindungen zur Timberwolf Server Cloud auf. Wir wollen diese Liste noch erweitern um alle anderen Verbindungen wie NTP und für die VPNs (und womöglich später zu IP-Protokollen)


Weitere Infos

Verfügbar: Die RC5 der V 1.6 wird voraussichtlich ab dem 29. September 2020 verfügbar sein. Derzeit befindet sich das neue Leistungsmerkmal im Developer Test /und funktioniert bereits prächtig).

Damit sollen nun auch die bereits aufgetretenen Kompatibilitätsprobleme mit Apple-Browsern erledigt werden, die durch eine andere Verschärfung seitens Apple in diesem Jahr aufgetreten sind.

Insgesamt verfügen wir mit diesem Leistungsmerkmal nun über die grundsätzliche Möglichkeit, auf erneute Daumenschrauben der Browser-Hersteller oder des B/CA-Konsortiums schnell zu reagieren.


lg

Stefan
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von StefanW am Di Sep 22, 2020 3:28 pm, insgesamt 6-mal geändert.
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART der Elaborated Networks GmbH
Support nur über dieses Forum und in individuellen Fällen über support@wiregate.de.
Bitte KEINE PN Impressum und Datenschutzerklärung oben

Sun1453
Reactions:
Beiträge: 821
Registriert: Do Feb 07, 2019 8:08 am
Hat sich bedankt: 546 Mal
Danksagung erhalten: 377 Mal

#2

Beitrag von Sun1453 »

Hallo Stefan,

sehr gut. Daumen hoch. Gerade sowas in einer RC zu implementieren ist gewagt, aber man sieht ja wie gut die Software ist und damit auch sowas möglich ist. Großes Lob an die Entwickler.

:handgestures-thumbupright: :handgestures-thumbupright: :handgestures-thumbupright: :handgestures-thumbupright: :handgestures-thumbupright:

@StefanW
Zuletzt geändert von Sun1453 am Sa Sep 12, 2020 9:56 pm, insgesamt 1-mal geändert.
Gruß Michael

Timberwolf 950 QL #344 | Mit Internetanbindung | VPN Offen | Reboot nach Absprache

Ersteller
StefanW
Elaborated Networks
Reactions:
Beiträge: 4527
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Grafing
Hat sich bedankt: 2086 Mal
Danksagung erhalten: 3458 Mal
Kontaktdaten:

#3

Beitrag von StefanW »

Hallo Michael,
Sun1453 hat geschrieben: Sa Sep 12, 2020 9:56 pmsehr gut. Daumen hoch.
Danke sehr. Wir hätten liebend gerne an der Modbus Implementierung weitergearbeitet. Aber wir mussten auf die Veränderung in den Browsern reagieren.

Sun1453 hat geschrieben: Sa Sep 12, 2020 9:56 pmsehr gut. Daumen hoch. Gerade sowas in einer RC zu implementieren ist gewagt, aber man sieht ja wie gut die Software ist und damit auch sowas möglich ist.
Ja. Das ist ein großer Vorteil der tollen Architektur. Wir haben die Funktionen des Timberwolf Servers in Microservices mit Nachrichtensystem implementiert und es ist daher ohne Einfluss auf die anderen Microsservices mit überschaubarem Aufwand machbar, einen neuen Microservice anzudocken.

Den Service für die Verbindung zur Timberwolf Cloud und die Cloud Server hatten wir in den letzten beiden Jahren schon entwickelt, weil wir damit neue Services (u.a. indirektes VPN, Lizensierung und das Nachrichtensystem) darüber aufsetzen wollen. Diese Module konnten wir nun einsetzen und für den verschlüsselten Transfer der CSRs nutzen.

Es waren trotzdem fast drei Mannwochen Arbeit und die Kunden sehen am Ende außer der Datenschutzseite einfach nichts. Außer dass die Benutzeroberfläche einfach weiter mit dem neuen Browserverhalten - auch für private Zertifizierungsstrukturen - funktioniert.

Dafür sind wir hier nun gut gerüstet für die nächsten Daumenschrauben der Browserhersteller.

Jetzt konzentrieren wir uns wieder auf einen schnellen Rollout der V 1.6 und vor allem auf die Modbus Implementierung. Weil wir haben schließlich noch viel vor.


lg

Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART der Elaborated Networks GmbH
Support nur über dieses Forum und in individuellen Fällen über support@wiregate.de.
Bitte KEINE PN Impressum und Datenschutzerklärung oben

alexbeer
Reactions:
Beiträge: 242
Registriert: Mi Sep 12, 2018 1:11 am
Wohnort: NRW
Hat sich bedankt: 129 Mal
Danksagung erhalten: 161 Mal

#4

Beitrag von alexbeer »

Auf das geplante Feature
Eine weitere angedachte Erweiterung ist, dass wir dem Kunden auch eigene Domains in Verbindung mit dem Hostnamen erlauben. Hier müssen wir noch nachdenken, dass damit kein Missbrauch möglich ist.
freue ich mich, obwohl ich mich mittlerweile schon an .local gewöhnt habe.

Dem Missbrauch könntet ihr mit einer Validierung wie zB DNS01, z.B. https://cert-manager.io/docs/tutorials/ ... alidation/ begegnen.
VG Alex
Timberwolf122 (TWS 2500) // Wartungs-VPN: offen // Reboot: jederzeit

Sun1453
Reactions:
Beiträge: 821
Registriert: Do Feb 07, 2019 8:08 am
Hat sich bedankt: 546 Mal
Danksagung erhalten: 377 Mal

#5

Beitrag von Sun1453 »

Hallo @StefanW

es ist wohl oben Absicht das nur Bild als Platzhalter anstatt eines Screens der Datenschutzseite vorhanden ist oder ?
Gruß Michael

Timberwolf 950 QL #344 | Mit Internetanbindung | VPN Offen | Reboot nach Absprache

Ersteller
StefanW
Elaborated Networks
Reactions:
Beiträge: 4527
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Grafing
Hat sich bedankt: 2086 Mal
Danksagung erhalten: 3458 Mal
Kontaktdaten:

#6

Beitrag von StefanW »

Hi Michael
Sun1453 hat geschrieben: Mi Sep 16, 2020 12:40 pmes ist wohl oben Absicht das nur Bild als Platzhalter anstatt eines Screens der Datenschutzseite vorhanden ist oder ?
Edit: Ich habe es jetzt verändert, siehst Du / seht ihr nun den Screenshot?

Stefan
Zuletzt geändert von StefanW am Mi Sep 16, 2020 3:07 pm, insgesamt 2-mal geändert.
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART der Elaborated Networks GmbH
Support nur über dieses Forum und in individuellen Fällen über support@wiregate.de.
Bitte KEINE PN Impressum und Datenschutzerklärung oben
Benutzeravatar

Eraser
Reactions:
Beiträge: 382
Registriert: So Aug 12, 2018 1:51 pm
Wohnort: Amstetten, Österreich
Hat sich bedankt: 136 Mal
Danksagung erhalten: 180 Mal

#7

Beitrag von Eraser »

Ja ist nun da.
mfg
Wolfgang

Timberwolf 2500 #151 / VPN offen / Reboot nach Rücksprache
+ PBM #938

EarlBacid
Reactions:
Beiträge: 266
Registriert: So Aug 26, 2018 5:59 pm
Wohnort: Herborn
Hat sich bedankt: 87 Mal
Danksagung erhalten: 135 Mal

#8

Beitrag von EarlBacid »

Ich hatte ihn auch vorher schon gesehen (win10 mit Chrome 85.0.4183.83). jetzt sehe ich ihn noch ein zweites mal am Ende des Posts.

VG
Earl
Wiregate#1504 + PBM -
Timberwolf 950Q #233 / VPN aktiv / Reboot OK
EFH mit KNX, 1-Wire, DMX

Hiele
Reactions:
Beiträge: 76
Registriert: Mo Jan 21, 2019 8:15 pm
Wohnort: Stahnsdorf
Hat sich bedankt: 79 Mal
Danksagung erhalten: 82 Mal

#9

Beitrag von Hiele »

Ich sehe es in keinem Browser :-( Will doch auch was sehen...

Bild_nicht_sichtbar.JPG

LG Hiele
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
"TWS 2600 ID:228, (VPN offen), Reboot erlaubt, V1.6 IP3"

Sun1453
Reactions:
Beiträge: 821
Registriert: Do Feb 07, 2019 8:08 am
Hat sich bedankt: 546 Mal
Danksagung erhalten: 377 Mal

#10

Beitrag von Sun1453 »

Ich sehe ihn weiterhin nicht. Steht nur Bild. Wenn ich rechts Klicke und auf Bild Anzeigen wird eine andere Seite geladen.

Dort steht :
Information

Der ausgewählte Dateianhang existiert nicht mehr.


Adresse im Browser ist: download/file.php?id=1683
Gruß Michael

Timberwolf 950 QL #344 | Mit Internetanbindung | VPN Offen | Reboot nach Absprache
Antworten

Zurück zu „Bekanntmachungen“