2010-12-01
Verbreitung von Allianz Group Infrastructure3 CA Zertifikaten nimmt zu ...
Bedingt durch den bevorstehenden Ablauf der Allianz Group Infrastructure1 CA (die in den lezten Jahren am stärksten genutzte CA der Allianz PKI für Intranet Zertifikate, die im Dezember 2011 abläuft), erneuern unsere Kunden ihre ablaufenen Allianz Group Infrastructure1 CA Zertifikate bis auf wenige technisch begründete Ausnahmen inzwischen von der neueren Allianz Group Infrastructure3 CA (Ablauf 2021). Dies garantiert ihnen eine volle 2-jährige Gültigkeit für ihre Zertifikat und verhindert überdies einen Massenablauf von Allianz Group Infrastructure1 CA Zertifikaten am 30. Dez. 2011.
Das bedeutet wir erleben zur Zeit einen beschleunigten Trend weg von von Allianz Group Infrastructure1 CA Zertifikaten hin zu Zertifikaten der Allianz Group Infrastructure3 CA, welche ihrerseits auch von einer neueren Root CA (Allianz Group Root CA IIanstatt Allianz Root CA III).abstammt. D.h. die "Trust Chain" für die Verifikation eines Intranet Zertifikats ändert sich bei einem Wechsel zur Allianz Group Infrastructure3 CA als Aussteller-CA wie folgt:
Server Certificate Intermediate CA Root CA
alt: someserver.ind.allianz -----> Allianz Group Infrastructure1 CA -----> Allianz Group Root CA
neu: someserver.ind.allianz -----> Allianz Group Infrastructure3 CA -----> Allianz Group Root CA II
Aus welche Weise können sie von diesem Trend betroffen sein?
Unsere direkten Kunden, die bei uns Zertifikate bestellen, bekommen immer die CA Zertifikate der Trust Chain ausgeliefert und werden darauf hingewiesen, welche Zertifkate in die Zertifikatsstores ihrer "SSL sprechenden" Komponenten aufzunehmen sind. Diese Komponenten jedoch kommunizieren Ihrerseits mit SSL-Clients, die nun das neue von der Allianz Group Infrastructure3 CA ausgestellte Serverzertifikat mit der veränderten Trust Chain verifizieren müssen. Bei solchen SSL Clients kann es sich ebenso um Arbeitsplatzrechner handeln, wie um Server mit einem grossen Nutzerkreis. Zwar werden eine grosse Anzahl von Clients (Arbeitsplatzrechner zumindest der grossen deutschen OEs) automatisch mit allen in der Allianz Group vertrauten CA Zertifikaten versorgt, bei vielen Clients , insbesondere bei Servern, ist dies aber nicht der Fall. Hier ist es die Aufgabe der jeweiligen Server-Adminstratoren, dafür zu sorgen, dass Ihre Server den Trust der Zertifikate anderer Server mit denen sie SSL-Verbindungen aufbauen, verifizieren können. Wenn Sie dies versäumen, dann sitzen sie im Zweifel auf "tickenden Zeitbomben", die dann losgehen, wenn - aus ihrer Sicht unvorhersehbar - ein anderer Systemadminstrator einer fremden Komponente ein Zertifikat tauscht und dabei eigentlich alles richtig macht.
Worauf müssen Sie als Server-Adminstrator achten?
a) Wenn Ihr Server selbst SSL-Client ist ...
Da Sie als Server-Admin i.d.R. nicht wissen, wann auf "fremden" Servern, dessen Services Sie ggf. als SSL-Client nutzen ein Zertifikat ausgetauscht wird, sollten Sie dringend sicherstellen, dass auf ihren Komponenten mindestens unseren beiden Root CAs vertraut wird. (Es gibt leider immer noch Komponenten, die nur der alten Allianz Root CA III und noch nicht der neueren Allianz Root CA II vertrauen, obwohl diese schon seit 2006 existiert.) Theoretisch sollte der Trust für die RootCAs ausreichen (und tut's in den meisten Fällen auch), da "SSL sprechende" Server außer ihren eigenen Zertifikate immer auch alle zu deren Verifikation benötigen Zwischen-CA-Zertifikate ("Intermediate CA certificates") ausliefen sollten. Entsprechend benötigt der Client dann nur noch das Root CA Zertifikat in seinem eigenen Zertifikatsstore um das Serverzertifikat gültig zu verifizieren. Aus folgenden Gründen wird die Theorie durch die Praxis nicht immer bestätigt:
- nicht alle Server sind korrekt konfiguriert in der Weise, dass sie zusätzlich zu ihrem eigenen Zertifikat auch immer die Zwischen-CA-Zertifikate mitausliefern.
-
selbst wenn sie es sind, kann es SSL Client Implementierungen geben, die sich zur Verifikation eines Serverzertifikats ausschließlich auf die im eigenen Zertifikatsstore hinterlegten CA Zertifikate zurückgreifen.
b) Wenn Ihr Server andere SSL Clients authentisiert ...
Möglicherweise betreiben Sie einen Server, der seine Clients anhand Ihrer Client Zertifikate authentisiert. Dieses können ggf. auch von der Allianz Group Infrastructure3 CA ausgestellte Webervicezertifikate sein. In diesem Fall muß Ihr Server zur gültigen Verifikation des Client Zertifikats die Zertifikate der Root CA (Allianz Group Root CA II) und der Intermediate CA (Allianz Group Infrastructure3 CA) "kennen", d.h. sie in seinem lokalen Zertifikatsspeicher hinterlegt haben.
Fazit. selbst wenn Ihr Server nur SSL Client ist: um auf "Nummer Sicher" zu gehen: Installieren Sie im Zertifikatsstore Ihrer Komponenten zusätzlich zu den RootCA Zertifikaten auch die Zwischen-CA-Zertifikate der Allianz Group Infrastructure1 CA and Allianz Group Infrastructure3 CA!
Was ist mit Allianz Group Infrastructure2 CA and Allianz Group Infrastructure4 CA ?
- Allianz Group Infrastructure2 CA stammt von der "alten" Allianz Root CA III, ist als Backup for Allianz Group Infrastructure1 CA vorgesehen und wurde bisher kaum genutzt um Zertifikate für End-Entitäten auszustellen.
- Allianz Group Infrastructure4 CA stammt von der neueren Allianz Group Root CA II, ist als Backup for Allianz Group Infrastructure3 CA vorgesehen und wurde bisher kaum genutzt um Zertifikate für End-Entitäten auszustellen.
Das oben Gesagte gilt für diese CAs analog. Es ist zwar wenig wahrscheinlich, dass Sie mit Zertiifkaten, die von diesen "Backup CAs" ausgestellt wurden in Berührung kommen, aber nicht unmöglich. Um auch hier auf "Nummer Sicher" zu gehen: fügen Sie auch diese CA Zertifikate dem Zertifikatsstore ihrer Kompomenten hinzu.
top |
English
