• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

D-Trust Limited Basic bei openkeys

lukas

Well-known member
Hallo zusammen

mir ist im NSP etwas aufgefallen, hat jemand ähnliche Erfahrungen gemacht?

Im Zertifikats-Tab bzw. im Log tauchte irgendwann die Meldung auf, dass Zertifikate ungültig sind. In meinem jugendlichen Leichtsinn habe ich sie mir dann zusammengesucht und installiert. Das war folgende Kette:
CN=D-TRUST Limited Basic Root CA 1 2019, O=D-Trust GmbH, C=DE // Thumbprint 08FEA56EF3E839778E28C774E7FEB84F5FE36FD6
CN=D-TRUST Limited Basic CA 1-4 2019, O=D-Trust GmbH, C=DE  // Thumbprint E9CEA94A2046BBA8210120E89F312530E27C5DD2

So weit so gut, danach war das Zertifikat grün und alles war in Ordnung.

Ich hatte in den letzten Wochen jedoch mehrere Kunden, die sich bei uns gemeldet haben, um uns mitzuteilen, dass wir unsere E-Mails an sie doch bitte nicht verschlüsseln sollen. Jedes Mal ergab die Recherche, dass der Kunde ein Zertifikat besitzt, das von D-Trust ausgestellt und bei openkeys hochgeladen wurde. Ich habe es denen dann jeweils schriftlich begründet und aufgezeigt, woran es lag. Parallel dann unserem NSP gesagt, er solle an diese Domains kein SMIME mehr nutzen.

Eine Antwort - außer "Danke, wir gehen dem nach" - bekam ich nie daher habe ich auch keine Rückmeldung, woran es lag. Aber bisher sind alle Zertifikate noch bei openkeys drin.
Mit einem Kunden habe ich auch gesprochen, bei ihm hats bei D-Trust geklingelt, er sagte sie haben die Zertifikate gekauft für etwas anders, ganz weit entfernt von E-Mail-Security.

Daher vermutete ich, dass D-Trust im Bestellprozess irgendwo eine Checkbox versteckt hat, die bei Zustimmung die Zertifikate automatisch veröffentlicht....?!

Nun wurde ich gestern jedoch stutzig, da es halt vermehrt auftrat und alle diese vorher installierte Zertifikatskette nutzten. Mittlerweile glaube ich, dass es ein Mix aus beiden ist. Die Dinger werden unerwünscht zu openkeys geladen aber sind halt ohnehin nicht für SMIME vorgesehen. Die "D-TRUST Limited Basic Root CA" wird bei der Bundesdruckerei auch nur als "Sonstiges" gelistet.

Deswegen bin ich gestern auch daher gegangen und habe sowohl diese Root- sowie Sub-CA als auch alle Zertifikate, die von ihr kommen aus dem Speicher entfernt, damit nicht weiter damit verschlüsselt wird. Nun sollte es wieder laufen, es ergibt sich aber das neue Problem, dass jede Mail an so einen Empfänger einen Zertifikats-Fehler ins Log scheibt. Gibt es hier eine saubere Lösung? Spontan fällt mir ein entweder damit klarzukommen oder die Prüfung über openkeys zu deaktivieren - wird wohl beides nicht im Sinne des Erfinders sein?

Hat jemand etwas ähnliches beobachtet oder gar die Gründe nachvollzeihen können? Gibts eine Lösung dafür?

Grüße
Lukas
 
Hallo,
ja als ich heute meine Wöchentliche Mail bekommen habe mit Zertifikatsproblemen fand ich die gleichen Zertifikate bei mir das die Root CAs nicht vorhanden waren.
Die habe ich dann auch hinzugefügt, wunderte mich nur warum die nicht dabei waren.

Aber bisher kam noch kein "warum sind die Mails verschlüsselt"

Grüße
 
Moin Frank
ich bin mir da nicht sicher, ob du dir da nicht ein Eigentor mit schießt diese CA zu importieren... es wird ja einen Grund haben, warum das CA-Zert von D-Trust nicht qualifiziert ist. Ich habe bei denen mal nachgefragt und folgende eher allgemeine Antwort bekommen:

die Zertifikate "D-Trust Limited Basic CA 1-4" verwenden ebenfalls den Standard S/MIME. Diese Zertifikate werden für unterschiedliche Anwendungen verwendet: Ver- und Entschlüsselung, qualifizierte/fortgeschrittene Signatur von Dokumenten, Authentifizierung von Anwendungen, Nutzung bei ElsterOnline.
Allerdings sind diese Basic PKI-Zertifikate nur eingeschränkt für die Signierung von E-Mails, bzw. für die Ver- und Entschlüsselung vorgesehen, da diese dann in jedem Fall beim Empfänger manuell als vertrauenswürdig behandelt werden müssen. Sollten Sie jedoch weiterhin mit unseren Zertifikaten arbeiten wollen wären Personenzertifikate der D-Trust evtl. interessant, da Sie mit den Produkten eine solche Einschränkung nicht haben würden.


Ich habe da nochmal genauer nachgehakt wie/warum die Dinger bei openkeys landen, bislang ohne Antwort.

Grüße
 
Hallo Lukas,
ja das könnte dann schon ein Eigentor werden.

also dann lieber nur die Akzeptieren die von Haus aus dabei sind.
Mal sehen was von openkeys kommt.
 
Hallo zusammen,
wir werden die Limited Basic Zertifikate von D-Trust aus OpenKeys verbannen. Jan ist an dem Thema dran und wird hier sicherlich noch ein Update geben. Die Schmerzen MIT den Zertifikaten an Bord sind größer als erwartet, daher dieser Schritt.
Gruß Stefan
 
Zurück
Oben