DSGVO und die Auswirkungen auf Zertifikatsanträge

  

SSL-Zertifikate sind ein Muss. Bieten Sie doch einen Basisschutz durch verschlüsselte Übertragungen von Daten.

Die Richtlinien unserer Datenschutzverordnung (DSGVO) lösen derzeit geradezu eine Welle an Zertifikatsanträgen aus. Umso kurioser, dass genau diese Verordnung bei der Beantragung eines Zertifikates das größte Hindernis darstellt.

Wir berichteten in der Ausgabe #005 von .BRANDAKTUELL, unserem Newsletter, dass die DSVGO eine massive Dateneinschränkung bezogen auf das Whois bewirkt. Zwischenzeitlich haben alle Registries und deren Registrare dem Rechnung getragen und sämtliche, im Whois eingetragenen Daten nach außen gekappt.

Somit ist auch die, meist individuelle, E-Mailadresse eines technischen Ansprechpartners (Tech-C) nicht mehr sichtbar und erhält daher nicht die, zur Validierung herangezogene, Bestätigungs-Mail der Zertifikatsanfrage. Generell bieten alle Zertifizierungsstellen 5 Standardadressen für die Validierung an:

  • postmaster@der-Domain-auf-der-das-Zertifikat-basiert
  • hostmaster@der-Domain-auf-der-das-Zertifikat-basiert
  • webmaster@der-Domain-auf-der-das-Zertifikat-basiert
  • administrator@der-Domain-auf-der-das-Zertifikat-basiert und
  • admin@der-Domain-auf-der-das-Zertifikat-basiert

Beispiel: Für den Zertifikatsantrag von support.domainexperten.de darf, man die postmaster@domainexperten.de als Validierungsadresse wählen.

In vielen Fällen jedoch existieren diese Adressen nicht oder sind zwar existent, laufen jedoch ins „Nirwana“. Die Erfahrung zeigt, dass in vielen Firmen, sich die nachträgliche Beantragung solcher Adressen äußerst schwierig gestaltet.

Der Prozess, der sogenannten Hash-Validierung ist eine weitere Alternative, die wir Kunden anbieten können. Hier wird der Zertifikatsrequest (CSR) als Hash generiert. Anschließend wird dieser String als CNAME in die DNS der Domain eingebunden und ist somit vom Zertifizierer überprüfbar.

Wir arbeiten derzeit an einer Lösung des Problems bzw. weiteren Alternativen in Zusammenarbeit mit Comodo, dem derzeit größten Zertifizierer, sowie dem CA/B-Forum, dem Gremium, das die Regeln für die Ausstellung eines Zertifikats festlegt. Allerdings wird dies noch einige Zeit in Anspruch nehmen.

Solange unser Rat für Sie: Lassen Sie sich eine Liste mit den derzeitigen Zertifikaten und deren Ablaufdaten von Ihrem Provider übermitteln und sorgen Sie schnellstmöglich für die Generierung einer der o. g. Adressen.

Das Team der DOMAINEXPERTEN setzt sich gerne mit Ihren weiteren Fragen auseinander. Nehmen Sie  Kontakt mit uns auf!

 

 

 

 

 

 

 

 

 

 

 

INDECA (er)lebt Nachhaltigkeit in seiner reinen Form.

Der Anlass war da und die Gelegenheit günstig.

Im Rahmen der Heilbronner Bundesgartenschau 2019 riefen die Initiatoren der Ausstellung dazu auf, einen Beitrag in Form einer sogenannten Baumspende zu leisten.

Für eine angemessene Spende durfte die INDECA Pate eines Stückes Natur werden.

Andere Unternehmen folgten ebenfalls diesem Aufruf und so kam der Tag an dem die Spender eingeladen wurden, Ihren lebenden Beitrag, in Augenschein zu nehmen.

In unserem Fall handelt es sich um eine Waldkiefer (Lat. pinus sylvestris)

Berthold Stückle, Projektlleiter der Bundesgartenschau führte uns zunächst durch das, zum Teil schon recht ansprechende Gelände. Bei strahlend blauem Himmel endete die Führung mit einem kleinen Imbiss und einer kühlen Erfrischung, was bei den hochsommerlichen Temperaturen auch gerne genommen wurde.

Der krönende Abschluss war jedoch die Überreichung der Spenderurkunde durch den Vorsitzenden des Vereins „Freunde der Bundesgartenschau Heilbronn 2019“ Hartmut Weimann.

Urkunde Baumspende BUGA

Danach durfte jeder Spender zu seinem eigenen Schützling wandern. Hier war, für mich, die Überraschung groß. Statt eines kleinen Bäumchens erwarteten uns ca. 6m hohe Bäume.

Anhand einer angebrachten Plakette konnte dann jeder „seinen“ Baum identifizieren und bewundern.

Wir sind stolz und glücklich hier ein Stück Nachhaltigkeit geschaffen zu haben.

Kommt doch gerade dieser, um die Jahrhundertwende definierte Begriff aus der Forstwirtschaft. Nach diesem Prinzip durfte damals nicht mehr Holz gefällt werden, als jeweils nachwachsen konnte.

Es ist ein guter Gedanke zu wissen, dass die INDECA mit dazu beigetragen hat, einen Wert zu schaffen der Jahrzehnte überdauern wird.

Domain Pulse 2018

Auch diesmal haben wir es uns nicht nehmen lassen, die Domain Pulse 2018 zu besuchen. Dieses Jahr wurden wieder neue Impulse gesetzt und spannende Themen zur digitalen Entwicklung diskutiert

Für die interessanten Vorträge und die kulinarische Verwöhnung hätten die Veranstalter kein besseres Ambiente als die BMW Welt in München finden können.

Eröffnet wurde die diesjährige Domain Pulse passend zum Thema „Next-Level Evolution: Homo Digitalis“ von einem kleinen freundlichen aber eigenwilligen Roboter, welcher jedoch souverän von Stefanie Welters (DENIC-Pressereferentin) abgelöst wurde.
Nach der offiziellen Begrüßung durch Dr. Jörg Schweiger (CEO DENIC) gab es zum einen spannende Vorträge und zum anderen heiße Diskussionsrunden über Freiheit vs. Sicherheit im digitalen Raum.

Der Höhepunkt der Domain Pulse war die  Abendveranstaltung im Bamberger Haus „Zum Ferdinand“, unweit der BMW Welt. Die stilvolle neobarockene Villa im Luitpoldpark faszinierte durch ihren einzigartigen Charme. Willkommen geheißen durch ausgelassene Stimmung sowie kalte und warme Getränke  war dies ein gelungener Ausklang des ersten Tages.

domainpulse2018

Tag zwei der Domain Pulse startete mit einem Business Breakfast und Fachgesprächen bei einer Tasse Kaffee. Nach einem gemütlichen Start in den zweiten Veranstaltungstag, ging es jedoch nicht weniger interessant weiter. Gespickt mit weiteren Fachvorträgen und Diskussionsrunden, gipfelte die Domain Pulse 2018 bei der Stabübergabe an Urs Eppenberger von SWITCH.

domainpulse2018

Mit neuen Eindrücken und vielen Anreizen blicken wir auf die Veranstaltung zurück und freuen uns schon heute auf die kommende Domain Pulse 2019 in der Schweizer Hauptstadt Bern.

Eure DOMAINEXPERTEN

 

Die DSGVO und die Änderungen zum Whois

Das Whois ist in unserer Domainwelt ein nicht wegzudenkendes Tool. Zeigt es uns doch an, ob unsere eigenen eingetragenen Daten (noch) stimmig sind oder – noch wichtiger – ob eine gewünschte Domain fremdregistriert ist und vor allem von WEM.

Die ab dem 25. Mai 2018 in Kraft tretende Datenschutz-Grundverordnung (DSGVO) wird uns zumindest bei Letzerem einige Einschränkungen bescheren. Die wesentliche Änderung ist dabei in einem Satz beschrieben:

Es dürfen keine personenbezogenen Daten uneingeschränkt der Öffentlichkeit zugänglich gemacht werden.

DSGVO bewirkt hier also eine der größten Veränderungen in der Domainindustrie:

Ein bewachtes, geschlossenes, eingeschränktes Whois-System. Namen, Adressdaten Telefonnummern und/oder E-Mailadressen tauchen künftig nicht mehr auf oder werden durch anonymisierte Platzhalter ersetzt.

Im Folgenden stellen wir 3 Beispiele vor, die Ihnen die Änderungen (rot) verdeutlichen:

Den Anforderungen entsprechend, werden generell die Daten des administrativen Ansprechpartners „Data Protected“ sein. Da die des technischen Kontakts zumeist unpersonifizierte Rollen wie z. B. „Domainservice INDECA“ sind, werden diese ebenfalls weitestgehend im Whois erhalten bleiben.

Es handelt sich um eine reine EU-Verordnung. Insofern werden die technischen Herausforderungen der territorialen Abgrenzung sehr groß sein. Dass diese gemeistert werden müssen, steht außer Frage, denn die Strafen bei Nichteinhaltung sind drakonisch.

Die ICANN und deren angeschlossene Registries sind jedoch mit diesen Anforderungen hoffnungslos überfordert. Die EU-Kommission hat darauf reagiert. In einem erst kürzlich verfassten Schreiben an die ICANN betont die Kommission, dass Sie um die Komplexität des Whois-System wohl wisse. Die Frage, ob es hier einen Kompromiss gibt bleibt allerdings offen. Zumindest wird es eine Schonfrist zum Übergang geben. Wie lange diese gewährt wird, ist allerdings ungewiss.

Für Sie als Domaininhaber besteht kein Handlungsbedarf. Unsere Kunden, die eine eigene TLD betreiben, werden wir rechtzeitig über die zu ergreifenden Maßnahmen informieren.

Schlussendlich bleibt abzuwarten, wie sich das Verhalten der Grabber ändert. Schließlich werden hier Domains zum Zwecke des Wiederverkaufs registriert. Es wird daher ein gesteigertes Interesse bestehen, die Kontaktdaten öffentlich zu machen, um entsprechende Angebote zu erhalten.

Das Team der DOMAINEXPERTEN setzt sich gerne mit Ihren weiteren Fragen auseinander.

Nehmen Sie Kontakt mit uns auf!

Der CAA-Record (DNS)

Der CAA-Record (DNS) ist die neueste Erweiterung im DNS.
Bei „Certification Authority Authorization (CAA)“ handelt es sich um eine neue Möglichkeit im Zonefile (DNS) einer Domain zu definieren, welche Zertifizierungsstellen (CA) für die entsprechende Domain Zertifikate ausstellen darf.
Seit September 2017 ist es für Zertifizierungsstellen Pflicht, CAA-Einträge der zu validierenden Domains zu prüfen. Dies wurde mit deutlicher Mehrheit im CA/B-Forum beschlossen.
Bisher konnten durch eine „Man-in-the-middle“- Attacke und einem gültigen Zertifikat für die Domain, User im Glauben umgeleitet werden, eine SSL-Verbindungen zum gewünschten Ziel aufgebaut zu haben.
Dies wird nun erschwert, bzw. ganz unterbunden.

Das bei RIPE im RFC 6844 dokumentierte Verfahren wird auch als CA-Pinning, Certificate Pinning oder SSL-Pinning bezeichnet. Dabei wird das SSL-/TLS-Zertifikat nicht nur an einen festgelegten Host/Endpunkt, sondern auch an definierte Zertifizierungsstellen
gebunden.

Der Aufbau des Eintrages ist wie folgt:
example.com CAA 0 issue „comodoca.com“

Durch die hier gesetzte Hinterlegung wird beispielsweise „Comodo“ als ausschließliche Zertifizierungsstelle der Domain example.com autorisiert. Dies gilt auch für Subdomains.

Zudem kann in einem weiteren CAA-Record eine Report- E-Mailaddresse angelegt werden, die im Konfliktfall eine Information im iodef-Format erhält. Dies wird jedoch noch nicht von allen Zertifizierungsstellen unterstützt.

Der Aufbau des Eintrages ist wie folgt:
example.com CAA 0 iodef “mailto:caa@domainexperten.de”

Es gibt jedoch auch einen Haken an der Sache. Während die Zertifizierungsstellen verpflichtet wurden, CAA-Einträge zu prüfen, besteht umgekehrt keine Pflicht einen solchen auch in die DNS einzutragen. Wird kein CAA-Eintrag angelegt, kann das Zertifikat – wie bisher – von jeder Zertifizierungsstelle ausgestellt werden.

Daher empfehlen wir, CAA-Einträge für Hauptdomains zu hinterlegen.

Folgende Website kann Sie bei der Erstellung und Überprüfung der Einträge unterstützen:

https://sslmate.com/caa/

Unser DNS-System nimmt die Einrichtung der CAA-Einträge derzeit über den Custom-Record an. Die Implementierung als Auswahl im Pull-Down-Menü folgt.

BACK TO THE ROOTS – Vertrieb mal wieder an der Basis

Meine ersten „EDV-Sporen“ habe ich mir im Vertrieb verdient. Von Mailingaktionen (den Geschmack von abgeleckten Briefkuverts schmecke ich heute noch auf der Zunge…) über Kaltakquise-Telefonaten bis hin zu Messediensten bei der Hannover CeBIT, der Münchner Systems oder der Kölner OrgaTec habe ich jahrelang so ziemlich alles mitgemacht.

Weiterlesen