DFNAAI
Aktuelle Informationen
Wichtig: DFN-AAI und das Ende der Generation 1 der DFN-PKI
mehr Infos
24.11.2009 12:42 Alter: 10 Jahre

Emfohlene Konfigurationsänderung für den Shibboleth IdP

Von: Raoul Borenius

Die neulich bekannt gewordene TLS/SSLv3-Renegotiation-Schwachstelle wurde durch einen Fix der OpenSSL-Entwickler zwar geschlossen, allerdings führt dieser Fix dazu dass u.U. die Attribut-Freigabe des IdP nicht mehr funktioniert wenn der SOAP-Rückkanal auf Port 8443 des IdPs benutzt wird.

Um das Problem zu vermeiden überprüfen Sie bitte die Apache Konfiguration Ihres IdPs und stellen Sie sicher dass sich die SSL-Direktiven nicht in einem <Location>-Kontext befinden sondern direkt im <VirtualHost>-Kontext:

falsch: 

   <VirtualHost IDP-IP-ADRESSE:8443>
     ServerName              idp.beispiel-uni.de
     SSLEngine               on
     SSLCertificateFile      /opt/shibboleth-idp/credentials/idp.crt
     SSLCertificateKeyFile   /opt/shibboleth-idp/credentials/idp.key

     <Location /idp>
       SSLVerifyClient optional_no_ca
       SSLVerifyDepth  10
       SSLOptions      +StdEnvVars +ExportCertData
     </location>

     ...

   </VirtualHost>

richtig: 

   <VirtualHost IDP-IP-ADRESSE:8443>
     ServerName              idp.beispiel-uni.de:8443
     SSLEngine               on
     SSLCertificateFile      /opt/shibboleth-idp/credentials/idp.crt
     SSLCertificateKeyFile   /opt/shibboleth-idp/credentials/idp.key

     SSLVerifyClient optional_no_ca
     SSLVerifyDepth  10
     SSLOptions      +StdEnvVars +ExportCertData

     ...

   </VirtualHost>

Reloaden Sie danach den Apache-Webserverprozeß neu um die Änderung wirksam werden zu lassen. Für Fragen und Unterstützung bei Problemen stehen wir unter hotline@aai.dfn.de gerne zur Verfügung.