FAQ zum DFN-Security Portal

Für die im DFN-Security Portal hinterlegten Domains werden nach Ablauf von einem Jahr (30 Tage vor Ablauf der Verifikationsperiode) automatisch neue Verifikationsanfragen versendet, um Einrichtungs-Admins bei der Reverifikation zu entlasten. Für die Reverifikation wird derselbe Empfänger verwendet, wie bei der ursprünglichen Anfrage. Die entsprechende E-Mail wird dabei signiert von domainvetting@dfn-cert.de zugestellt.

Domains können im DFN-Security Portal (im Reiter „Domains“) einzeln oder als Liste von den handlungsberechtigten Personen (Ansprechpersonen / Admins) der Einrichtungen hinzugefügt werden. Im DFN registrierte Domains werden auf Wunsch und Knopfdruck automatisch prozessiert, wobei für jede einzelne Domain initial ein manueller Verifikationsschritt erforderlich ist. Angelehnt an die Vorgaben des CA/Browser-Forums zur Verifikation von Domains wird im folgenden Prozess eine Bestätigungsanfrage an die E-Mail-Adresse aus dem DNS SOA Record oder an eine von fünf Standardadressen der Domain (hostmaster@, admin@ usw.) versendet. Die entsprechende E-Mail wird dabei signiert von domainvetting@dfn-cert.de zugestellt. Nach Aufruf des in der E-Mail enthaltenen Links bleibt die Domain für ein Jahr verifiziert und die Sicherheitsmeldungen des DFN-CERT werden den zugeordneten Kontakten zugestellt.

Bitte senden Sie uns eine Mail mit einer kurzen Beschreibung des Fehlers an:
portal-contact@dfn-cert.de.

Admins für Einrichtungen können generell nur über die Geschäftsstelle des DFN-Vereins in Berlin eingerichtet werden. Zur Klärung der Voraussetzungen für den Zugriff auf das Portal wenden Sie sich daher bitte an die Kollegen, die Unterstützung bei organisatorischen Fragen bieten:

E-Mail: dfn-security@dfn.de
Telefon: +40 30 88 42 99 9123

Derzeit besteht im DFN-Security Portal keine Möglichkeit, einzelne IP-Adressen in ein Whitelisting aufzunehmen, da wir uns zur Weitergabe sämtlicher Meldungen verpflichtet haben. Es kann aber auf der ersten Ebene ein eigenes Netzsegment für den fraglichen Adressbereich erzeugt und einem geeigneten Benutzer zugewiesen werden, so dass alle Warnmeldungen nur noch dieser Benutzer
erhält. Achten Sie in diesem Fall darauf, dass alle Benutzer auf der obersten Ebene (die Einrichtung
selbst) so konfiguriert sein müssen, dass diese keine Meldungen für untergeordnete Netzsegmente
erhalten.

Sie haben kein Benutzerkonto im DFN-Security Portal oder Ihr Zertifikat ist abgelaufen. Bitte wenden Sie sich an: dfn-security@dfn.de.

1. Benutzt der Browser das richtige Zertifikat? Kennt der Browser mehrere Zertifikate und
   haben Sie das richtige Zertifikat ausgewählt? Sie benötigen ein persönliches Zertifikat aus
   der DFN-PKI Global oder aus DFN-PKI GÈANT TCS. Für das Zertifikat müssen Sie in der Regel
   beim Rechenzentrum oder der Haupt-EDV/IT-Abteilung Ihrer Einrichtung vorstellig werden
   und dort dem internen Prozess der Zertifikatsbeantragung der Einrichtung folgen. Die
   Teilnahme Ihrer Einrichtung am DFN-PKI Dienst ist dafür Voraussetzung.
2. Auf die aktuelle Version des DFN-Security Portals hat nicht mehr jeder Anwender mit
   einem Zertifikat aus der DFN-CA automatisch Zugriff.
   Die Benutzerverwaltung liegt jetzt bei den Einrichtungen und wird von wenigen
   bestimmten Personen (Admins, ehemals handlungsberechtigte Personen) übernommen.
   Kontaktieren Sie Ihren Admin, um Zugang zum DFN-Security Portal zu erhalten.
3. Ihr Zertifikat ist abgelaufen. Der Admin Ihrer Einrichtung kann im Reiter Kontakte über die
   Silhouette unter dem Kontaktnamen eine E-Mail auslösen, die Sie bei der Übermittlung
   Ihres neuen Zertifikats unterstützt (Benutzerprofil bearbeiten > Zertifikat ändern). Vor
   Ablauf Ihres Zertifikats oder mit aktivem Login können Sie diese E-Mail auch selbst
   anfordern (im Benutzermenü oben rechts: Meinen Login ändern > Zertifikat ändern). Vor
   der Änderung des Zertifikats sollten Sie aber bestehende Logins beenden (siehe Punkt 4).
4. SSL_ERROR_HANDSHAKE_FAILURE_ALERT, ERR_BAD_SSL_CLIENT_AUTH_CERT oder
   ‚Aktivieren Sie TLS 1.0, TLS 1.1 …‘ Die Fehler ‚SSL_ERROR_HANDSHAKE_FAILURE_ALERT‘,
   ‚ERR_BAD_SSL_CLIENT_AUTH_CERT‘ oder ‚Aktivieren Sie TLS 1.0, TLS 1.1 …‘ tauchen auf,
   wenn Firefox, Chrome/ium oder Microsoft Browser kein gültiges Zertifikat an das DFN-
   CERT-Portal übermitteln. Das kann passieren, wenn der Auswahldialog für Zertifikate beim
   Seitenaufruf schon mal geschlossen wurde, statt das ausgewählte Zertifikat zu bestätigen.
   Der Browser merkt sich dann diese Nicht-Entscheidung und versucht beim nächsten Aufruf
   gar nicht erst, auf Zertifikate zurückzugreifen. Löschen Sie in diesem Fall alle bestehenden
   Logins in ihrem Browser, schließen Sie alle Browserfenster und starten Sie den Browser
   neu. Damit werden Sie allerdings auch von allen anderen noch aktiven Webseitensitzungen
   abgemeldet und müssen sich überall erneut anmelden:
   Bei z. B. Firefox mit:
   1. [Strg] + [Shift] + [Entf]
   2. Haken bei ‚Aktive Logins‘ setzen
   3. [Jetzt löschen] klicken.

   Der Fehler kann auch auftreten, wenn ein bereits verwendetes Zertifikat nicht mehr im
   Zertifikatsspeicher von Firefox enthalten ist. Durch die Einführung des internen Passwort-
   Managers ‚LockWise‘ in Firefox 70 kann es unter Umständen zu leeren anwendungslokalen
   Zertifikatsspeichern kommen. Prüfen Sie, ob Ihr Zertifikat noch im Zertifikatsspeicher von
   Firefox enthalten ist und importieren Sie das Zertifikat gegebenenfalls.

   Einstellungen > Zertifikate > Importieren

   Auf Windows-Systemen kann es vorkommen, dass Firefox nicht von Haus aus auf den
   Zertifikatsspeicher von Windows zurückgreift. Wenn Ihre Sicherheitsrichtlinien es zulassen,
   konfigurieren Sie Firefox so, dass der Browser auf den Zertifikatsspeicher von Windows
   zurückgreift:

   1. Aufruf von ‚about:config‘ in der Adressleiste
   2. Suchen Sie nach ’security.enterprise_roots.enabled‘
   3. Setzen Sie Option auf ‚true‘