Author Archives: Martin

About Martin

http://wiki.cacert.org/MartinGummi

CAcert at CeBIT 2016

German version below

On the world’s largest computer fair, the CeBIT in Hannover, DE, CAcert should not be missing out. From March 14th through March 18th Assurers and Assurees are meeting each other at 12:00 CET outside Hall 2 in direction of the green. In case of bad weather the assurances take place directly at the glass front of Hall 2 outside under the roofing.

More details can be found in the Wiki.
CeBIT meeting point

Further events with attendance of CAcert — with a booth at OpenSource events — can be reviewed in the CAcert wiki at http://wiki.cacert.org/Events/UpcomingEvents.

[German]
Auf der weltgrößten Computermesse, der CeBIT in Hannover, darf auch CAcert nicht fehlen. Vom 14. bis 18. März treffen sich Assurer und Assurees täglich ab 12 Uhr vor Halle 2 in Richtung der Grünfläche. Bei schlechtem Wetter finden die Assurances direkt an der Glasfront von Halle 2 außen unter der Überdachung statt. Mehr Informationen finden sich im Wiki.

Weitere Veranstaltungen mit CAcert-Beteiligung – mit eigenem Stand auf OpenSource-Veranstaltungen – sind im CAcert-Wiki unter http://wiki.cacert.org/Events/UpcomingEvents einsehbar.

CAcert wishes everybody a Happy and Secure Year 2015!!!

Happy New Year (sparkler)

We are happy to share with you some statistics for the year 2014.

In 2014 we received more than 34000 new registrations which is over 2500 more than the previous record year 2006 (31542)

Shown in the image are the numbers of new CAcert members (newly verified accounts) per year.

It looks like there remains a need for certificates from an open, free and independent CA.

We thus would like to thank our community and all active members, contributors, assurers and supporters, who make this possible. Please keep up this great work!

CAcert @ OpenRheinRuhr 2014, Oberhausen, DE

Am 8. und 9. November findet die OpenRheinRuhr im Rheinischen Industriemuseum direkt am Hauptbahnhof in Oberhausen statt. Eine Spitzenlocation für eine Veranstaltung über freie Software, bei der CAcert nicht fehlen darf.

Jeder Interessierte kann sich am Stand von CAcert über kostenfreien Zertifikate, darunter SSL-Serverzertifikate und Client-Zertifikate für sichere E-Mail-Kommunikation informieren. Fragen zur Benutzung und zum Einsatz der Zertifikate werden ebenfalls beantwortet.

English version

On November, 8th and 9th, the OpenRheinRuhr will take place at Rheinisches Industriemuseum directly located at Oberhausen central station. The Industriemuseum is an amazing location for an event about free and open source software. Of course, CAcert presents itself on this event.

Who wants to get informed about free certificates, e.g. SSL-Server certificates, or client certificates for secure e-mail communication is invited to meet CAcert members for discussion on CAcerts’ OpenRheinRuhr booth. Questions about the use of certificates and necessary know-how will be answered.

FrOSCon 9 in St. Augustin 23./24. August 2014

For the English version see below.

Auch in diesem Jahr wird CAcert wieder auf der FrOSCon am 23. und 24. August in St. Augustin mit einem Stand vertreten sein.

Sprecht uns auf dem Stand an, um zu erfahren, welche Aktivitäten zur Zeit bei CAcert durchgeführt und geplant sind. Mehr unter wiki.cacert.org/Events/FrOSCon2014

English
CAcert will be present again with a booth on the FrOSCon in St. Augustin 23th/24th August.

Feel free to come along and ask us what CAcert is doing at the moment and what are the plans for the near future. More see wiki.cacert.org/Events/FrOSCon2014

CAcert Assurance Party an der Nordakademie in Elmshorn

Wir laden ein zur Assurance-Party am 04.06.2014 um 18:00 Uhr.
Dieses Community Event ist interessant für alle die sich für CAcert und die Identitätsprüfung von CAcert interessieren. Dabei ist jeder, ob CAcert Assurer, CAcert Assuree/Member, CAcert Interessierte, Einsteiger oder Unentschlossener herzlich willkommen. Es gibt die Möglichkeit für Assurees/Members Assurance-Punkte zu erwerben, für Assurer sich Erfahrungspunkte zu verdienen und sich über die CAcert Community Policies (Richtlinien) zu informieren. Um einen reibungslosen Ablauf der Identitätsüberprüfung zu ermöglichen, wird darum gebeten neben hinreichenden amtlichen Lichtbildausweisen auch genügend ausgedruckte CAP-Formulare, für sich selber und andere, mitzubringen.

CAcert ist ein Vertrauensnetzwerk, das über seine Zertifizierungsstelle digitale Zertifikate für seine Mitglieder zur Verfügung stellt. Das Vertrauen entsteht aus der Einhaltung der Policies, dem korrekten Verhalten des einzelnen Mitgliedes und durch eine ordnungsgemäße Identitätsüberprüfungen. Für die Identitätsüberprüfung gibt es Assurancepunkte. Mit dem Punktestand steigt der Vertrauensstatus innerhalb der Community. Da hier ein strenger Maßstab angesetzt wird, wird für eine Assurance auch die Vorlage von 2 gültigen, amtlichen Lichtbildausweisdokumenten empfohlen. Hierbei wird meist Personalausweis, Reisepass oder Führerschein dem Assurer vorgelegt.

Es wird empfohlen, sich vor der Veranstaltung schon bei CAcert [1] zu registrieren, da so der Prozess vor Ort beschleunigt werden kann.
Die Einsicht in die Policies ist unter [2] möglich.
[1] http://www.cacert.org/
[2] http://www.cacert.org/policy/

Updated: Information about Heartbleed-bug in OpenSSL 1.0.1 up to 1.0.1f

German version below

There is news about a bug in OpenSSL that may allow an attacker to leak arbitrary information from any process using OpenSSL.

Good news:

Certificates issued by CAcert are not broken and our central systems did not leak your keys.

Bad news:

Even then you may be affected.
Although your keys were not leaked by CAcert your keys on your own infrastructure systems might have been compromised if you were or are running a vulnerable version of OpenSSL.

To elaborate on this:

The central systems of CAcert and our root certificates are not affected by this issue. Regrettably some of our infrastructure systems were affected by the bug. We are working to fix them and already completed work for the most critical ones. If you logged into those systems, within the last two years, (see list below) you might be affected!
But unfortunately given the nature of this bug we have to assume that the certificates of our members may be affected, if they were used in an environment with a publically accessable OpenSSL connection (e.g. Apache webserver, mail server, Jabber-Server, …). The bug has been open in OpenSSL for two years – from December 2011 and was introduced in stable releases starting with OpenSSL 1.0.1.
When an attacker can reach a vulnerable service he can abuse the TLS heartbeat extension to retrieve arbitrary chunks of memory by exploiting a missing bounds check. This can lead to disclosure of your private keys, resident session keys and other key material as well as all volatile memory contents of the server process like passwords, transmitted user data (e.g. web content) as well as other potentially confidential information.
Exploiting this bug does not leave any noticeable traces, thus for any system which is (or has been) running a vulnerable version of OpenSSL you must assume that at least your used server keys are compromised and therefore must be replaced by newly generated ones. Simply renewing existing certificates is not sufficient! – Please generate NEW keys with at least 2048 bit RSA or stronger!
As mentioned above this bug can be used to leak passwords and thus you should consider changing your login credentials to potentially compromised systems as well as any other system where those credentials might have been used as soon as possible.
An (incomplete) list of commonly used software which include or link to OpenSSL can be found at related apps.

What to do?

  • First ensure that you upgrade your system to a fixed OpenSSL version (1.0.1g or above).
  • Only then create new keys for your certificates.
  • Check what services you have used that may have been affected within the last two years.
  • Wait until you think that those environments got fixed.
  • Then (and only then) change your credentials for those services. If you do it too early, i.e. before the sites got fixed, your data may be leaked, again. So be careful when you do this.

What we are doing:

  • We are updating the affected infrastructure systems and and create new certificates for them.
  • We use this opportunity to upgrade to 4096 bit RSA keys signed with SHA-512. The new fingerprints can be found below. 😉
  • We will contact all members, who had active server certificates within the last two years.
  • We will keep you updated, here.

Press release

CAcert-PM-Heartbleed-en

Update:

There is a website where one can check if a domain is affected:
http://filippo.io/Heartbleed/ (Use on your own risk)
We checked our systems against it, it looks like most of the systems we classified as affected are not actually affected. But we decided to update them, anyway and provide them with new certificates, as well.

Status of CAcert Infrastructure systems:

Not affected / Nicht betroffen:

  • main website (www.cacert.org)
  • certificate signer (the system doing the actual certificate issuing)
  • email system (inbound and outbound mail servers)

Fixed/Behoben:

blog.cacert.org
SHA1 Fingerprint=7A:13:19:98:1E:FB:9F:F9:9A:E6:3D:E5:7D:F0:42:E1:BE:56:B9:79

board.cacert.org
SHA1 Fingerprint=9B:30:44:3D:A8:8C:F5:5E:50:07:68:70:D6:A1:83:44:F9:7D:00:D6

bugs.cacert.org
SHA1 Fingerprint=E1:2C:12:7F:66:DF:2E:9D:F6:BC:FB:6F:BC:F1:2E:A0:10:5F:8E:BA

cats.cacert.org
SHA1 Fingerprint=2E:0B:08:6E:F1:48:FB:76:69:D6:6D:51:8F:E9:B3:2C:C3:4B:14:25

community.cacert.org
SHA1 Fingerprint=9B:8E:0A:68:96:E5:C8:E6:E6:8E:D8:10:31:3F:7C:2C:A8:4E:E1:3F

email.cacert.org
SHA1 Fingerprint=27:AB:9B:90:51:9B:BA:60:51:B3:84:54:FF:C7:09:94:63:86:68:FA

git.cacert.org
SHA1 Fingerprint=87:47:41:6D:C1:32:C7:22:00:E5:DA:E5:3C:4B:28:A2:2B:8A:F3:E4

irc.cacert.org
SHA1 Fingerprint=57:F4:0F:38:1E:53:D0:83:DC:D2:40:0A:13:98:B7:06:55:EA:A7:19

issue.cacert.org
SHA1 Fingerprint=82:33:D3:AE:32:56:C5:AD:9E:BF:D1:84:62:56:EA:95:31:7E:64:8C

lists.cacert.org
SHA1 Fingerprint=6A:AE:16:90:A2:1F:CC:1B:B7:93:71:C0:1B:BD:2E:14:68:69:45:EA

svn.cacert.org
SHA1 Fingerprint=D5:00:0A:15:17:04:2F:50:5B:09:3C:DD:B9:0A:57:DD:B3:BE:3D:B4

translations.cacert.org
SHA1 Fingerprint=B7:59:B9:BA:46:64:E2:D4:C8:73:20:50:45:9B:08:5E:2B:DF:D0:1B

wiki.cacert.org
SHA1 Fingerprint=87:07:59:30:30:64:27:15:6E:39:C3:66:09:CA:7A:90:7D:2F:32:32

cacert.eu
SHA1 Fingerprint=A2:7A:CB:E7:91:0A:ED:7E:63:9F:D1:97:01:96:E9:7B:F0:9E:43:3D

Affected/Betroffen:

  • Testserver-management-system (you should have not used correct data there)

Deutsche Fassung:
Ein Bug in OpenSSL wurde gefunden, der es einem Angreifer erlaubt beliebige Informationen jedes Prozesses zu erlangen, der OpenSSL nutzt.

Die gute Nachricht:

Die von CAcert ausgestellten Zertifikate sind nicht kaputt und unsere zentralen Systeme waren auch nicht angreifbar und hat keine Schlüssel verraten.

Die schlechte Nachricht:

Dennoch kann jeder betroffen sein!

Um ins Detail zu gehen:

Die zentralen Systeme und die Stammzertifikate von CAcert sind von diesem Problem nicht betroffen. Leider sind einige unserer Infrastruktur-Systeme durch den Fehler betroffen.
Wir arbeiten daran diese zu fixen und haben dies auch schon für die meisten erledigt. Jeder, der sich auf diese Systeme in den letzten zwei Jahre eingelogt hat kann betroffen sein!
Aufgrund der Art des Fehlers, müssen wir leider davon ausgehen, dass die Zertifikate unserer Mitglieder betroffen sind, wenn sie sich in eine Umgebung eingelogt haben, die über öffentliche OpenSSL-Verbindungen zugänglich war (z.B. Apache Webserver, Mail Server, Jaber-Server, …). Dieser Fehler war zwei Jahre lang in OpenSSL – seit Dezember 2011 – und kam beginnend mit Version 1.0.1 in die Stabilen Versionen.
Angreifer, die einen verwundbaren Service erreichen, können die TLS-Erweiterung “heartbeat” ausnutzen, um beliebige Abschnitte aus dem Speicher zu erlangen, indem sie eine fehlende Bereichsprüfung ausnutzen. Das kann zur Offenlegung von privaten Schlüsseln, im Speicher abgelegte Sitzungsschlüsseln, sonstige Schlüssel genauso wie jeglicher weiterer Speicherinhalt des Server-Prozesses wie Passwörter oder übermittelte Benutzerdaten (z.B. Webinhalte) oder andere vertrauliche Informationen führen.
Die Ausnutzung dieses Fehlers hinterlässt keine merklichen Spuren. Daher muss für jedes System, auf dem eine angreifbare Version von OpenSSL läuft (oder lief), angenommen werden, dass zumindest die verwendeten Server-Zertifikate kompromittiert sind und deswegen durch einen NEU generierte erstetzt werden müssen. Einfach die alten Zertifikate zu erneuern, reicht nicht aus! – Bitte NEUE Schlüssel mit 2048 Bit RSA oder stärker generieren!
Wie oben erwähnt kann dieser Fehler ausgenutzt werden, um Passwörter zu entwenden. Daher sollte jeder überlegen, alle Zugangsdaten zu möglicherweise betroffenen Systemen und allen Systemen bei denen diese sonst noch verwendet worden sein können, so bald wie möglich auszutauschen.
Eine (unvollständige) Liste an weit verbreiteter Software die OpenSSL verwendet kann z.B. unter folgendem Link gefunden werden.

Was ist zu tun?

  • Als erstes müssen die eigenen Systeme auf eine fehlerbereinigte Version von OpenSSL aktualisiert werden (Version 1.0.1g oder neuer).
  • Danach neue Schlüssel für die Zertifikate erstellen. Jetzt ist es sicher das zu tun.
  • Überprüfen, welche fremden Dienste in den letzten zwei Jahren besucht worden sind.
  • Warten, bis dort wahrscheinlich der Fehler behoben wurde.
  • Dann (und erst dann) die Logindaten für diese Dienste erneuern. Vorsicht: Wenn das zu früh getan wird, also wenn der Dienst noch nicht bereinigt wurde, können die Daten wieder abgegriffen werden.

Pressemitteilung

CAcert-PM-Heartbleed-de

Update:

Es gibt eine Webseite, bei der man seit kurzem checken kann, ob eine Domäne angreifbar sind:
http://filippo.io/Heartbleed/ (Benutzung auf eigene Gefahr)
Wir haben unsere Systeme dagegen geprüft und es sieht so aus, als wären nicht alle, die wir als potentiell angreifbar eingestuft haben tatsächlich angreifbar, aber wir haben uns dennoch dafür entschieden die entsprechenden Systeme aufzurüsten und die Zertifikate zu erneuern.

Was wir tun:

  • Wir arbeiten daran, alle Infrastruktur-Systeme auf den neuesten OpenSSL-Stand zu bringen und für diese neue Zertifikate zu generieren.
  • Wir nutzen diese Gelegenheit, um dabei auf 4096er-Schlüssel, die mit SHA-512 signiert sind aufzurüsten. Die neuen Fingerabdrücke können oben gefunden werden. 😉
  • Wir werden alle Mitglieder kontaktieren, die in den letzten zwei Jahren aktive Server-Zertifikate benutzt haben.
  • Wir werden neue Informationen an dieser Stelle veröffentlichen.

CAcert at FOSDEM 14th, Feb 1th – 2th 2014

FOSDEM, the Free and Open Source Software Developers

CAcert and secure-u e.V. will be present at FOSDEM 2014, the Free and Open Source Software Developers’ European Meeting, on February Sat 1th and Sun 2th 2014.

If you want to help at our booth, register yourself on our events wiki page for FOSDEM 2014 planning.

CU at FOSDEM …

IT-SeCX – 8.11.2013

Der IT-Security Community Xchange 2013 (IT-SeCX 2013) bietet eine Plattform, um sich mit Gleichgesinnten zum Themenkreis rund um die IT-Security auszutauschen!

Die Fachhochschule St. Pölten öffnet am 8.11.2013 ab 17:00 Uhr ihre Türen für die “etwas andere” Konferenz. Sie richtet sich an SystemadministratorInnen, sowie an SchülerInnen und StudententInnen, Lehrbeauftragte, ExpertInnen und Geeks, die sich für den Themenkreis IT-Security in allen Facetten interessieren und eine Plattform suchen, um sich untereinander austauschen zu können. Die Konferenz bietet einen praxisorientierten Informationsaustausch über aktuelle Entwicklungen und Trends im IT-Security Umfeld.

Es erwarten Sie interessante und aktuelle Vorträge, spannende Hands-on Workshops und die Möglichkeit zu persönlichem Networking. Das Veranstaltungsprogramm spannt somit einen weiten Bogen auf – ausgehend von grundlegendem Wissen über präzises Experten Know-How hin zu “Best Practice” mit praxiserprobten Rezepten.

CAcert ist sowohl mit einem Infostand als auch mit einem Vortrag auf dieser Veranstaltung vertreten.

Die Teilnahme an der Konferenz ist kostenlos.

Fragen richten Sie bitte direkt an die Konferenzkoordinatorin,
Frau Mag. Ines Weinauer per E-Mail oder per Telefon +43 (0) 2742 313 228 604,
ines.weinauer@fhstp.ac.at.
http://itsecx.fhstp.ac.at