mit der nächsten Version V 1.6 RC 5 führen wir ein neues Leistungsmerkmal ein:
Datenschutzoptionen und automatische Erneuerung der Zertifikate für TLS-Zugriff
Meuterei der Browser:
Führende Browserhersteller haben im ersten Halbjahr 2020 beschlossen, dass TLS Zertifikate, die ab dem 1. September 2020 ausgestellt werden, nur noch eine maximale Gültigkeit von 13 Monate (398 Tage) aufweisen dürfen.
Eigentlich wurden solche Vereinbarungen bislang demokratisch im "CA/B Forum" (das ist eine informelle Gruppe, die sich aus etwa 50 Zertifizierungsstellen und den tonangebenden Browser Hersteller zusammensetzt und seit 2005 die Regeln festsetzt) beschlossen.
Noch vor 15 Jahren betrug die Lebensdauer eines Zertifikates bis zu 8 Jahre. Manchen Browser-Herstellern war dies viel zu lang und daher hatte man sich über Verkürzungen auf fünf und dann auf drei Jahre letztlich im März 2018 darauf geeinigt, die Gültigkeit nun auf zwei Jahre zu beschränken.
Die Zertifizierungsstellen waren zunächst guter Hoffnung, das man einen tragfähigen Kompromiss auf Dauer erreicht hätte.
Jedoch waren manche Browser Hersteller mit dem Kompromiss nicht zufrieden. Bereits im September 2019 kam er zu einer erneuten - von Google initiierten - Abstimmung über eine Beschränkung der Gültigkeit auf ein Jahr. Allerdings votierten zwar 100% der Browser-Hersteller, aber nur 35% der Zertifizierungsstellen dafür.
Die Browser Hersteller waren wohl unzufrieden und so brach Apple im Februar 2020 mit dem 15 Jahre alte Abstimmungsverfahren und gab die Entscheidung bekannt, dass seine Browser am 1. September künftig nur noch Zertifikate mit einer Lebensdauer von 398 Tagen akzeptieren würden. Unabhängig davon, was man im CA/B Forum im März 2018 gemeinsam beschlossen hatte. Nur zwei Wochen später kündigte Mozilla das gleiche an und am 10. Juni 2020 wurde verkündet, dass Chrome sich ebenfalls anschließen wird und damit für die Prüfung der Zertifikatsgültigkeit diese 398 Tage Regel implementieren würde. Vermutlich wird sich Microsoft anschließen, da der neue Edge Browser auf Chromium basiert.
Damit wurde eine informelle aber dennoch demokratisch initiierte Gruppe (für eine Änderung sind 100% der Browser-Stimmen und 75% der CA-Stimmen erforderlich) mit Ihren Entscheidungen ad absurdum geführt, weil die drei größten Browserhersteller einfach ihre Marktmacht nutzen und solche Entscheidungen "per Dekret" fällen. Wenige Firmen für das gesamte Internet.
Allerdings haben die Zertifizierungsstellen einen gewissen Anteil an der Meuterei, weil das Thema "Zurückziehen ungültig gewordener oder missbrauchter Zertifikate" nie richtig funktionierte und es den Anschein hatte, als wolle man sich von Seiten der Zertifizierungsstellen darum auch nicht so wirklich richtig bemühen. Die Zeit hatte auch gezeigt, dass immer wieder massive Verstöße bei CAs entdeckt wurden und das Problem bestand, wie man deren Zertifikate auch ohne Browser-Updates aus dem Umlauf bekommt.
Die CA hatten dagegen argumentiert, dass dies überhaupt nichts helfen werde, da Malware Anbieter ohnehin ein Zertifikat nur einmal verwenden würden und diese ganze Verschärfung letztlich viele Ressourcen bei IT Abteilungen binden wird. Sehr richtig, zum Beispiel bei uns....
Früher betrafen solche Änderungen nicht Zertifikate von privaten Zertifizierungsstellen, aber nun sind ALLE Zertifikate betroffen. Hurra.
Anpassungen für den Timberwolf Server:
Mit RC5 zur V 1.6 implementieren wir ein neues Leistungsmerkmal: Die automatische Erneuerung von TLS Zertifikaten durch unsere eigene Certificate Authority. Zugleich etablieren wir damit eine "Datenschutz" Seite, damit die Nutzer sämtliche Verbindungen zwischen dem Timberwolf Server und dem Internet sowie zur "Timberwolf Server Cloud" einsehen und auch kontrollieren können.
Selbstverständlich kann der Kunde dies alles (wie bisher auch) abschalten bzw. nicht nutzen bzw. den Server in einer isolierten Umgebung betreiben. Wir haben nun nur noch einmal alles auf einer Seite zusammengefasst und zeigen in einer dynamischen Tabelle an, welche Verbindungen nun aktiv genutzt werden.
Der Server gehört dem Nutzer und daher soll er auch alleine darüber bestimmen was passiert und welche Daten ausgetauscht werden dürfen.
Bedienung / Nutzung:
Neue Datenschutz-Seite:
Auf dieser Seite sind alle Einstellungen bzw. der Link zu Einstellungen für sämtliche Verbindungen des Servers zum Internet verfügbar.
Erneuerung von Zertifikaten:
Dies erfolgt nun vollautomatisch und hierfür ist keine Bedienung erforderlich:
Prüfung / Erneuerung eines neues TLS Zertifikat
- Der TWS überprüft künftig fünf Minuten nach einem Systemstart und anschließend einmal am Tag den Zeitstempel des Zertifikates
- Wenn das Zertifikat weniger als 60 Tage (Genau: 60 * 3600 * 24 = 5.184.000 Sekunden) Laufzeit hat, dann wird der Prozess zur Erneuerung angestoßen
- Hierbei wird lokal ein Schlüsselpaar berechnet, der dabei generierte Public Key als Certificate Signing Request ("CSR") formatiert und über einen verschlüsselten Kanal (dessen Keys sich auf dem internen HW Security Chip abstützen) in die Timberwolf Server Cloud ("TSC") hochgeladen.
- Dort werden die CSR geprüft, in eine Datenbank eingetragen, eine neue Seriennummer erzeugt und von unserer Certificate Authority (bzw. einer RA davon) signiert. Der zentrale Server ist darauf ausgelegt, 1000 solcher Signierungen parallel ausführen zu können. Wenn mehr notwendig ist, werden weitere Instanzen gestartet.
- Anschließend wieder an den absendenden TWS zurückgesandt, dort umfangreich validiert, freier Speicherplatz geprüft und dann transaktionsorientiert das Zertifikat installiert und der Webserver über die Konfigurationsänderung informiert.
Angedachte Verbesserungen für die Zukunft
- Wir wollen die automatisch generierten Zertifikate künftig noch um die IP-Adresse erweitern. Hierzu ist noch ein Modul zu implementieren, dass eine Änderung an der IP des Timberwolf Servers automatisch erkannt wird und zu einem geänderten Zertifikat führt.
- Eine weitere angedachte Erweiterung ist, dass wir dem Kunden auch eigene Domains in Verbindung mit dem Hostnamen erlauben. Hier müssen wir noch nachdenken, dass damit kein Missbrauch möglich ist.
- Die dynamische Liste der Verbindungen zeigt im Moment nur die Verbindungen zur Timberwolf Server Cloud auf. Wir wollen diese Liste noch erweitern um alle anderen Verbindungen wie NTP und für die VPNs (und womöglich später zu IP-Protokollen)
Weitere Infos
Verfügbar: Die RC5 der V 1.6 wird voraussichtlich ab dem 29. September 2020 verfügbar sein. Derzeit befindet sich das neue Leistungsmerkmal im Developer Test /und funktioniert bereits prächtig).
Damit sollen nun auch die bereits aufgetretenen Kompatibilitätsprobleme mit Apple-Browsern erledigt werden, die durch eine andere Verschärfung seitens Apple in diesem Jahr aufgetreten sind.
Insgesamt verfügen wir mit diesem Leistungsmerkmal nun über die grundsätzliche Möglichkeit, auf erneute Daumenschrauben der Browser-Hersteller oder des B/CA-Konsortiums schnell zu reagieren.
Edit 2020-09-30: Die neue Version 1.6 RC5 mit dieser neuen Funktion wurde nun bereitgestellt: viewtopic.php?f=8&t=2421
lg
Stefan