CAcert: Identitäts-Überprüfung und freie SSL-Zertifikate

C_Logemann — Mon, 13 Feb 2012 13:09:28 +0000

In dieser Session möchte ich primär die CAcert-Community vorstellen. Diese bekommt zwar bald eine brandneue Drupal 7-Website (deren Baustelle bei Intereses gerne gezeigt werden kann), aber es geht vielmehr darum, was die CAcert Community leistet und auch der Drupal Community bieten kann. Ich bemühe mich für die Session wenigstens noch einen Vertreter der CAcert-Community als Co-Presenter zu bekommen.
Update (2012-02-16): Es sieht gut aus, daß noch mehr Vertreter von CAcert anwesend sein werden: http://wiki.cacert.org/Events/DrupalEssen2012

Dem ein oder anderen ist CAcert vllt. schon im Zusammenhang mit freien SSL-Zertifikaten für Server aufgefallen, die auch für viele Drupal-Websites besser sind als selbstsignierte Zertifikate. Bei genauerem Hinsehen sind CAcert-Zertifikate eigentlich sicherer als viele kommerzielle Zertifikate. Kommerzielle Zertifikate bauen auf einem alten Privileg, daß Ihre Wurzel-Zertifikate per default in den großen Browsern und Betriebssystemen aufgenommen sind. Dies macht z.B. für Online-Shops mit flüchtiger Kundschaft zugegeben diese auch noch oft zur ersten Wahl, selbst wenn die Sicherheit nicht so groß ist, wie ein entsprechendes Signal eines Browsers das signalisiert. Für Intranets, Entwicklungs- und Demo-Websites sind CAcert-Zertifikate dann aber sehr interessant. Und wer versucht, SSL-gesicherte Replikation zwischen MySQL/MariaDB oder LDAP-Servern zu etablieren, freut sich schnell über valide Zertifikate. Da selbst Wildcard-Zertifikate kostenlos sind, sind diese in Kombination mit Wildcard-Domains ein wahres Vergnügen auf Test-Systemen.

Die Sicherheit von CAcert basiert darauf, es ein Fundament einer community basierter Identitäts-Überprüfung (assurance) gibt, die ausgefeilten Regeln und Agreements folgt. Diese halten vllt. nicht unbedingt dem Signaturgesetz der BRD stand (was allerdings die meisten kommerziellen Zertifikate auch nicht machen), schlägt aber ein Postident-Verfahren meiner Meinung nach locker und mit dem bekommt man bei einigen Banken ein Konto. Diese Regeln machen nicht nur Server-Zertifikate vertrauenswürdig sondern insbesondere auch Client-Zertifikate. Eine dazu passende technische Lösung eines Zertificats-Login für Drupal wird in der Session "Register- und Login-Security in Drupal" besprochen.

Auf dem Zertifikats-Login aufbauend, gibt Ideen in der CAcert Community, eine Möglichkeit zu schaffen, die diverse von der Community bestätigte Identitäts-Informationen zwischen dem System von CAcert und externen Webanwendungen (z.B. Drupal) austauschen zu können, wenn die entsprechenden Benutzer dafür die Freigabe bestätigt haben (opt in). Eine sichere Altersverifikation ist eine der Funktionen, die im Gespräch sind. Mich persönlich reizt vor allem die Identitäts-Überprüfung durch die weltweit tätige CAcert Community auch für andere Communities nutzen zu können. Da für eine Assurance (Identitäts-Überprüfung) kein Geld verlangt werden darf, passt dies gut zu Free and Open Source - Software und insbesondere zu nicht kommerziellen Communities und nicht staatlichen Organisationen (NGOs).

CAcert Assurance-Möglichkeit: Der Vortragende ist übrigens CAcert Assurer. Es sind alle Interessierten eingeladen (vllt. nicht unbedingt während der Session) sich assuren zu lassen oder andere zu assuren, wenn man schon CAcert Assurer ist. Für Neulinge wäre es gut, sich schon im Vorfeld insbesondere mit dem CAcertCommunityAgreement zu beschäftigen und bei Interesse ein Account anzulegen. Mindestens ein (am besten zwei) amtliche Lichtbild-Ausweise mitbringen (z.B. Personalausweis und einen Führerschein). Gegen eine Kontaktaufnahme im Vorfeld habe ich nichts einzuwenden.

VortragBeginnerCAcertSSLZertifikate45 Minutendeutsch

Register- und Login-Security in Drupal

C_Logemann — Tue, 07 Feb 2012 15:39:26 +0000

In dieser Session möchte ich einen allgemeinen Überblick über Register/Login-Security-Strategien in Drupal geben. Es geht zwar primär darum die Sicherheit insbesondere für Administartoren-Zuänge zu verbessern, aber auch der leichtere Zugang für Benutzer mit wenig Rechten wird thematisiert.

Neben den default Mechanismen in Drupal erkläre ich diverse Strategien und Module, die je nach (Sicherheits-)Bedarf der Webanwendung eingesetzt werden können. Bei der großen Masse an Modulen auch zu diesem Thema kann es auch sein, daß ich ein paar wichtige Module übersehen habe. Darüber hinaus geht auch um Servertechnologien außerhalb von Drupal und deren Konfiguration.

Basiswissen

Per Default baut Drupal auf E-Mail Sicherheit, sowohl bei der Registrierung als auch bei einen Passwort-Reset/default Onetime Login. Im Alltag wird eine Username/Passwort-Authentifizierung gegen Passwort-Hashs in der internen Datenbank zumeist MySQL/MariaDB benutzt.

Strategien, Module und externe Technologien

Insgesamt vertritt der Vortragende die Meinung, daß ein guter Onetime-Login (z.B. per E-Mail versendet) besser ist als schlechte Passwörter oder unverschlüsselte Passwort-Übermittlung.

Die Kommunikation zwischen Browser und Server per SSL zu verschlüsseln ist nur eine Möglichkeit von vielen, Drupal weiter abzusichern. Dies ist insbesondere für Intranet-Anwendungen interessant. Neben SSL sind auch weitere assymmetrische Verschlüsselungstechnologien wie SSH und PGP nutzbar um Login-Prozesse abzusichern.

Die Registrierung von Benutzerkonten kann auf bestimmte E-Mail-Domains beschränkt werden. In Kombination mit dem Praxis-Beispiel 2 (siehe unten) kann Drupal so zu einer Hochsicherheitszone gemacht werden. Dazu gibt es Module wie Regcode oder auch etwas komplexere Lösungen wie eine LDAP-Anbindungen, um die Registrierung von Benutzern zu steuern.

Aufbauend auf einer Absicherung von Drupal können dann wiederum andere Webanwendungen (z.B. eine Moodle Lernumgebung oder andere Drupal Instanzen) mit diversen Strategien als Single-Sign-On mit Drupal im Zentrum abgesichert werden. Um Drupal zur Kontrollinstanz in einem LDAP-Server zu machen, habe ich das Modul LDAPcontrol entwickelt.

Praxis-Beispiel 1: Externe Plattformen und Kurzzeit-Passwörter

Im ersten Beispiel geht es um die Anbindung von externen Lern-Plattformen an eine Drupal-Plattform (Q-Online). Mein DLSconnect-Modul enthält eine Strategie um mittels Kurzzeit-Passwörtern, die in einem Directory Server (OpenLDAP) abgelegt werden. Dies dient insbesondere der Absicherung der Kommunikation zwischen Drupal und externen Server-Schnittstellen, die nicht per SSL verschlüsselt kommunizieren. Zur Zeit wird diese Strategie auf eine Moodle-Anbindung ausgeweitet.

Praxis-Beispiel 2: Login mittels SSL-Client-Zertifikate z.B. von CAcert

Im zweiten Beispiel-Projekt get es um SSL-Client-Zertifikate die in Drupal-Instanzen für Login-Prozesse genutzt werden können. Grundsätzlich mit allen SSL-Client-Zertifikaten, aber insbesondere das Web of Trust (WoT) des Community-Projekts CAcert für das diese Lösung auch entwickelt wird, ist vllt. für viele (Drupal-)Websites interessant. Das dazugehörige Modul ist Entwicklung und wird im praktischen Einsatz gezeigt. Auf Unterschiede und Gemeinsamkeitn zum Modul Certifikatelogin wird ebenso eingegangen wie auch auf Server-Zertifikate, die es auch von CAcert gibt.

Weitere Informationen zu CAcert und Assurance-Möglichkeit siehe Session: "CAcert: Identitäts-Überprüfung und freie SSL-Zertifikate".

Ergänzung: Präsentation auf meiner Website (inkl. ergänzender Informationen und Modul-Links)