CRL-Prüfung bei SwissSIgn ist heute gestört

[mabu]

Hallo.

Bei uns werden heute eine größere Menge an eingehenden und signierten Mails abgelehnt, weil die Prüfung der CRL nicht möglich ist.

Mein erste temporäre Lösung war, in den Eingangsregeln die Überprüfung des Signaturzertifikates auszuschalten.

Dann fiel mir auf, dass es nicht alle signierten Mails betrifft. War Zertifikat z.B. von GlobalSign, dann war alles okay.

Und bei SwissSign im Systemstatus dann wohl den Grund gefunden - hier wird für den heutigen 22.01. ein Problem gemeldet. Na klasse.

Wie geht man denn hier praktisch am besten vor, wenn die CRL nicht erreicht werden kann? Gibt es im NSP hier evtl. eine Funktion, die hier CRLs zwischencached und dann für eine gewisse Zeit damit arbeiten könnte?

---

Habe gerade den Ausgangstext angepasst - hatte dort von "verschlüsselten Mails" gesprochen - meinte aber "signierte Mails"

 

[mabu]

Bei uns werden bei Signaturen mit SwissSign-Zertifikaten auch heute (25.01.) noch Fehler bei der CRL-Prüfung im NSP angezeigt.

Im SwissSign Systemstatus taucht das Problem vom 21.01. nun gar nicht mehr auf.

Wie ist das bei Euch? Kann der NSP bei Euch signierte Mails mit SwissSign-Zertifikaten korrekt prüfen?

 

[JanJäschke]

Hallo Martin,

ich habe grade einmal bei uns geschaut und unsere Systeme können SwissSign zertifikate sauber überprüfen.
Hast du schon einmal versucht die CRL manuell im Webbrowser oder per Certutil auf den Windows Systemen zu prüfen?



Gruß
Jan

 

[mabu]

So ein blödes Problem.

Die Revocation List von SwissSign bei und auf dem NSP-DMZ-Server ist nicht mehr aktuell und vom Datum her auch schon abgelaufen. Und aktuell komme ich von dem Server per http auch nicht an die CRL - mit https klappt es.

Bei GlobalSign komme ich per http an die CRL. Keine Ahnung, was das RZ da schon wieder gemacht hat. Call dazu ist eröffnet.

PS: ich hatte vorhin bei Euch am Support ein Ticket eröffnet. Vermutlich hat sich das erledigt. Grund war, dass ich kurz vor 16 Uhr auf einmal (leider nur kurzzeitig) auch den Aufruf per http zu SwissSign durchbekommen habe. Und ich wollte in meiner telefonischen Anfrage nur rausbekommen, ob es bei certutil o.ä. einen Schalter gibt, der die CRL auf aktuellen Stand bringt. Aber dann funktionierte es per http auch schon wieder nicht. Nur leider hatte ich dazwischen schon bei Euch angerufen.

Bin gespannt, was das RZ da so findet.

 

[mabu]

Es funktioniert nun wieder.

RZ musste in einer Firewall-Regel, die unseren DMZ-Server mit der GW-Rolle betrifft, die "Applikation Google-App-Engine" hinzufügen. Das wurde nämlich bei den CRLs von SwissSign geblockt und dann funktionierte es auch wieder.

Verstehen tue ich das irgendwie nicht. Warum sollten die http-Anfragen an SwissSign für die CRL hier auf einmal anders sein als z.B. bei GlobalSign.

Na was solls. So ist das heutzutage in der IT. Es funktioniert. Haken dran. Wurmt mich aber.

Und ich stelle auch gleich noch eine neue Frage ins Forum. Ist mir gerade zufällig auf dem NSP aufgefallen. Wieder so eine tolle Sache.