© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Client Zertifikate – Aus Alt mach Neu -- CAcert - Die Community.

Slides:



Advertisements
Ähnliche Präsentationen
Be.as WEB Technologie
Advertisements

Präsentation des Abschlussprojektes Rudolf Berger
Dynamische Seiten mit Dreamweaver Zugriff auf (mysql) Datenbank mit PHP.
CAcert.org.
Bernd Oberknapp, UB Freiburg
Erweiterung B2B Usermanagement / LDAP-Anbindung
Informationen ü ber den Umbau des Schulnetzes Aufgrund der Umstellung unseres Schulnetzes auf ein neues Serversystem wird Ende Juni 2010 der Zugriff auf.
Einführung MySQL mit PHP
Welche Funktion hat die php.ini? -Beinhaltet wichtige Einstellungen für PHP. Genannt seien hier u.a. der Speicherort von Cookies, Parameter der Kompilierung,
SQL PHP und MySQL Referat von Katharina Stracke und Carina Berning
Wir bauen uns eine Webapplikation!
Folgendes kann missbraucht werden: formulare unverschlüsselte login-informationen ungeschützte includes SQL-injection reto ambühler
Adaption von K-Means Algorithmen an Datenbanken
Marko Dragicevic Thomas Bergauer 27.Mai 2008
->Prinzip ->Systeme ->Peer – to – Peer
Installation, Konfiguration, Online stellen, Zugriff © by Lars Koschinski 2003.
Oracle Portal think fast. think simple. think smart. Dieter Lorenz, Christian Witt.
Webserver Apache & Xampp Referenten: Elena, Luziano und Sükran
WINLearn Technische Umsetzung. Basistechnologie Oberfläche in HTML JSP (JavaServerPages) zur Datenauswertung Datenhaltung: Datenbank oder Filesystem JDBC.
Bewerbungs- eingang Bewerbungs- bearbeitung Stellenangebote VermittlungKommunikationZusatzleistungen.
By Thorsten Zisler 1 SQL Datenbank Anbindung an den Supervisor.
» Mobile Gateway Enterprise Edition Einzigartige Freiheit und innovative Arbeitserleichterung für den Mittelstand… Bewerbung für den Innovationspreis.
Mitgliederzutrittsbereich (Member Access) Registrierung & Anmeldung (Login) Um bei dieser Präsentation die Diskussionspunkte, die aufgebracht werden, festzuhalten,
AMS confidential & proprietary International Business and Technology Consultants 1 Sicherheitskonzepte in Oracle Von der Entwicklung in die Produktion.
CMS … Content Management System. Erster Schritt Das CMS funktioniert (leider) nicht mit allen Browsern. Eine fehlerfreie Bearbeitung ist mit Mozilla firefox.
Zehn Schritte zu Linux Der Weg in eine andere Welt...
LugBE Linux User Group Bern PKI – Was soll das? Einleitung Symmetrisch vs. asymmetrisch Trusted Third Party Hierarchisches Modell Web of Trust Links LugBE.
Praktische Anwendung von CAcert. Was macht CAcert? CAcert stellt Zertifikate aus.
Assurance Praxis Assurance Praxis 2.1 Assurer Challenge 2.2 Namen a. Strict Rules b. Relaxed Rules Fach Prüfung 2.4.
© CAcert, 2010 Autor: Bernhard Fröhlich 1 Die CAcert Community - Wer? - Was? - Wo?
© CAcert, 2010 Ulrich Schroeter, Assurer Training Events, Sept 2010 CAcert und das Audit.
© CAcert, 2009 Ulrich Schroeter, Assurer Training Events, April 2009 Worauf sollte man achten wenn man das erste mal einen.
1 / Evidence Gathering. 2 / Evidence Gathering 3.1 Was bedeutet Evidence Gathering? 3.2 CARS 3.3 Assurer Prozeduren 3.4 Support.
Microsoft Azure Die Cloud-Plattform für moderne Unternehmen ModernBiz 1 Kleine und mittlere Unternehmen (KMU) wünschen sich die Möglichkeit und Flexibilität,
CAcert und das Audit II Audit Prolog - Ausblick ● Abgebrochen Mitte 2009 ● Fehlende Ressourcen ● Abwälzung der Arbeit auf.
© CAcert, 2009 Ulrich Schroeter, Assurer Training Events, April 2009 Was ist die CCA?
“Nobody knows …” On the internet, nobody knows you're a dog.
Aufgabe 1: Begriffswelt
1 2 3 Wo sind die Kinderrechte aufgeschrieben?
Praktische Anwendung von CAcert
Indico Meeting Dennis Klein
OAuth 2.0 Ralf Hoffmann 03 / 2017
CAcert Was ist das?.
Projekt: Freie Tauchausbildungsunterlagen
Assurance.
GWR – Eidgenössisches Gebäude- und Wohnungsregister
Aus dem Leben eines Hotline-Mitarbeiters
SMTP Sieve-Interpreter
Public Key Infrastructure
Anleitung für Administratoren
Anleitung für Administratoren
Arbitration.
Arbitration.
Unterwegs im Internet.
How-To Anbindung neuer Aufrufmechanismus Bericht bisherige Erfahrungen
Webdienste Infrastruktur Motivation
Du kommst hier nicht rein!
Elektronische Post BBBaden.
Routing … … die Suche nach dem Weg..
Das erste Mal Ads schalten...
Geschäftsplanpräsentation
Anmeldung/Kostenkontrolle in Verbindung mit dem USB Karten-Leser
Präsentation von Darleen und Michèle
Statische und Nichtstatische Methoden Properties / Eigenschaften
Von Wietlisbach, Lenzin und Winter
SOFTWARE- UND WEB-LÖSUNGEN
<Fügen Sie Ihren Namen ein>
MyLCI-Zweigclubs Prozesshandbuch 2018.
Hack2Sol – Powered by SAP
Schmock Mutter nicht ausreichend versorgt  fast verhungert Mutter bei Geburt verstorben Schmock mit Flasche aufgezogen.
 Präsentation transkript:

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Client Zertifikate – Aus Alt mach Neu -- CAcert - Die Community CA Basiert auf einen Vortrag von Ian Grigg

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Login v0.0 bis... Login 0.0: Jedem wird vertraut Login 0.1: Passworte + Usernamen Login 0.3: Single Sign On (SSO) – Der Traum Login 0.4: Verbund...

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Was lief schief ? 0.0 Vertrauen 0.1 N * Komplexität != Support + Sicherheit SSO...

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Was lief schief ? SSO a) Jede Website, hat eine andere Zugriffs- methode (Bedienung, Buttons) … (Henne) b) Jede Person, eine Methode (von unter- schiedlichen Diensteanbietern) … (Ei) c) Wer kommt an meine Daten ? d) Wer ist hier Kunde ?

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Einsatz von Computern ? Haben wir dafür eigentlich nicht Computer um mit solchem Zeugs umzugehen ?

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Einsatz in Computern Wir haben ! Das “Zeugs” nennt sich “Client Zertifikate” - Öffentliche – Private Schlüssel Paare - 3 rd Party Signaturen Third Party Signaturen sind Assurances über einen Notar. Assurance ist möglich in Ländern mit geringer Assurer Dichte. Derzeit aber ist das Verfahren aufgrund fehlender Subpolicy auf Eis gelegt

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Einsatz in Computern Wir haben ! … Sicher, sie sind wie “Crypto” Passworte Funktionieren mit jedem Browser, Webserver Warum haben sich Client Zertifikate nicht etabliert ?

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Warum haben sich Client Zertifikate nicht etabliert ? Eine unendliche Anzahl unterschiedlichster Software Daten sind keinem Risiko ausgesetzt auch nicht die Benutzer Stellt ein Gegengewicht zu der gängigen Zugangsmethode Account/Passwort dar … lässt sich nicht skalieren Henne & Ei: Niemand hat ein Ei (Frage nicht)

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 CAcert steigt in Das Eier Geschäft ein Zertifikate => “Identität” => Assurance - Web Of Trust Audit! - Wie auditiert man einen Web Of Trust ? - Dokumentation... Standards … Überprüfbarkeit... CATS – CAcert Automated Testing System - Alle Assurer müssen sich einem Test unterziehen

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Inspiration! CATS benötigt Client Zertifikat (kein Passwort) - Weil wir eine CA sind ? - So das unsere Assurer über Zertifikate bescheid wissen ? - Wir wollen Cool aussehen ? - Wir wünschen High-Security Zugang ? - Oder ? - Frage nicht...

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Der Erfolg von CATS Start Anfang 2008 Obligatorisch seit Anfang K++ → 1000 → 2000 → Heute Faustregel: seriöser Test Reduzierung auf 1/3 Assurer Gemeinschaft ist stärker

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 CAcert steigt in das Hühnergeschäft ein Jeder Assurer hat ein Zertifikat Daher... Jede Website kann Zertifikats Zugang bereitstellen (nur Zertifikats Zugang) Migriere alle Websites zu ausschliesslichem Zertifikatszugang Wordpress, Sympa, Voting... abgeschlossen Steht auf den Sysadmins ToDo Listen

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Ergebnisse … für den Blog Schreibzugriff, wenn du ein Client Zertifikat hast - Mehr Autoren, mehr Artikel... Spam Problem gelöst Nie mehr vergessene Accounts falsche Passworte → Administrator kann sich um andere Dinge kümmern

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Ergebnisse … für den Blog (Fortsetzung) Keine längeren Diskussionen über das WER schreibt den Artikel User können sich mehr Zeit nehmen und auf den Artikel verwenden

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Problemfälle! #1 Mehrere Zertifikate → Firefox Konfusion - Wir warten auf das User-Whitelisting #2 Verrückte Meldungen - Server weist Zertifikat ab - Client erzählt, Server lehnte Handshake ab - Benutzer lehnt alles ab - Entwickler sind sich nicht einig - (warten auf noch mehr User Beschwerden)

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Strategien Hybrid: Passwort + Zertifikatszugang - Wenn du musst … - (CA Hauptseite hat dies, für die Widerherstellung) Nur Zertifikate – Immer Zertifikate: - a) Apache Abwicklung (zu wenig, zu viel) - b) Applikations Abwicklung (du musst programmieren) Empfehlung: Nur Zertifikate – via Applikationen

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Beispiel: Apache Basic Client Side Authentizierung für den Fall Zugang nur mit Zertifikaten. Jedes beliebige Zertifikat aus einem Set von CA's ## Client Verification SSLVerifyClient optional SSLVerifyDepth 3 SSLCADNRequestPath /usr/share/ca-certificates/cacert.org/ # error handling RewriteEngine on RewriteCond %{SSL:SSL_CLIENT_VERIFY} !=SUCCESS RewriteRule.? - [F] ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site"

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Beispiel: Apache (Fortsetzung) SSLCADNRequestPath enthält den Pfad der Zertifikate, die akzeptiert werden sollen drwxr-xr-x 2 root root :22. drwxr-xr-x 9 root root :12.. lrwxrwxrwx 1 root root :22 5ed36f99.0 -> root.crt -rw-r--r-- 1 root root :23 class3.crt lrwxrwxrwx 1 root root :22 e > class3.crt -rw-r--r-- 1 root root :23 root.crt Details unter

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Beispiel: PHP Abfrage mit Hilfe von Systemvariablen if ($_SERVER[SSL_CLIENT_VERIFY] == "SUCCESS") { $sql = "SELECT * FROM ". USERS_TABLE. " WHERE user_ = '". $db->sql_escape($_SERVER[SSL_CLIENT_S_DN_ ]). "'"; $result = $db->sql_query($sql); $row = $db->sql_fetchrow($result); $db->sql_freeresult($result); if ($row) { return $row; }

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Eingehende Strategie Problemfall #3 – Zertifikate können und werden sich ändern Lese Zertifikat in die Datenbank ein - Zertifikats Index → Account Zuordnung Für neue Zertifikate, Scan einiger Infos - kann auf und Name prüfen Wenn User Name und ändert … - bedarf es weiterer Überlegungen

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Zusammenfassung Zertifikate verrichten Dienste - wesentlich besser als Passworte - weniger Stress wenn es mal funktioniert - weniger Arbeit für Administratoren Gegenüber anderen Methoden ? - Höhere Sicherheit als OpenID - Verfügbar (sobald du ein paar Eier gekauft hast)

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Herausforderung Problem (b): Niemand bekommt ein Ei Herausforderung für dich: Verteile Zertifikate an alle User - “alle sind CAcert” - Erstelle eine Site, jede Seite, benutze Client Zertifikate - Intern: benutze die Zertifikate vom Hersteller

© CAcert, 2010 Ulrich Schroeter, Presentation, April 2010 Dank, Fragen, Antworten Noch Fragen ? Ulrich Schroeter

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2025 SlidePlayer.org Inc. All rights reserved.