Hallo zusammen
mir ist im NSP etwas aufgefallen, hat jemand ähnliche Erfahrungen gemacht?
Im Zertifikats-Tab bzw. im Log tauchte irgendwann die Meldung auf, dass Zertifikate ungültig sind. In meinem jugendlichen Leichtsinn habe ich sie mir dann zusammengesucht und installiert. Das war folgende Kette:
CN=D-TRUST Limited Basic Root CA 1 2019, O=D-Trust GmbH, C=DE // Thumbprint 08FEA56EF3E839778E28C774E7FEB84F5FE36FD6
CN=D-TRUST Limited Basic CA 1-4 2019, O=D-Trust GmbH, C=DE // Thumbprint E9CEA94A2046BBA8210120E89F312530E27C5DD2
So weit so gut, danach war das Zertifikat grün und alles war in Ordnung.
Ich hatte in den letzten Wochen jedoch mehrere Kunden, die sich bei uns gemeldet haben, um uns mitzuteilen, dass wir unsere E-Mails an sie doch bitte nicht verschlüsseln sollen. Jedes Mal ergab die Recherche, dass der Kunde ein Zertifikat besitzt, das von D-Trust ausgestellt und bei openkeys hochgeladen wurde. Ich habe es denen dann jeweils schriftlich begründet und aufgezeigt, woran es lag. Parallel dann unserem NSP gesagt, er solle an diese Domains kein SMIME mehr nutzen.
Eine Antwort - außer "Danke, wir gehen dem nach" - bekam ich nie daher habe ich auch keine Rückmeldung, woran es lag. Aber bisher sind alle Zertifikate noch bei openkeys drin.
Mit einem Kunden habe ich auch gesprochen, bei ihm hats bei D-Trust geklingelt, er sagte sie haben die Zertifikate gekauft für etwas anders, ganz weit entfernt von E-Mail-Security.
Daher vermutete ich, dass D-Trust im Bestellprozess irgendwo eine Checkbox versteckt hat, die bei Zustimmung die Zertifikate automatisch veröffentlicht....?!
Nun wurde ich gestern jedoch stutzig, da es halt vermehrt auftrat und alle diese vorher installierte Zertifikatskette nutzten. Mittlerweile glaube ich, dass es ein Mix aus beiden ist. Die Dinger werden unerwünscht zu openkeys geladen aber sind halt ohnehin nicht für SMIME vorgesehen. Die "D-TRUST Limited Basic Root CA" wird bei der Bundesdruckerei auch nur als "Sonstiges" gelistet.
Deswegen bin ich gestern auch daher gegangen und habe sowohl diese Root- sowie Sub-CA als auch alle Zertifikate, die von ihr kommen aus dem Speicher entfernt, damit nicht weiter damit verschlüsselt wird. Nun sollte es wieder laufen, es ergibt sich aber das neue Problem, dass jede Mail an so einen Empfänger einen Zertifikats-Fehler ins Log scheibt. Gibt es hier eine saubere Lösung? Spontan fällt mir ein entweder damit klarzukommen oder die Prüfung über openkeys zu deaktivieren - wird wohl beides nicht im Sinne des Erfinders sein?
Hat jemand etwas ähnliches beobachtet oder gar die Gründe nachvollzeihen können? Gibts eine Lösung dafür?
Grüße
Lukas
mir ist im NSP etwas aufgefallen, hat jemand ähnliche Erfahrungen gemacht?
Im Zertifikats-Tab bzw. im Log tauchte irgendwann die Meldung auf, dass Zertifikate ungültig sind. In meinem jugendlichen Leichtsinn habe ich sie mir dann zusammengesucht und installiert. Das war folgende Kette:
CN=D-TRUST Limited Basic Root CA 1 2019, O=D-Trust GmbH, C=DE // Thumbprint 08FEA56EF3E839778E28C774E7FEB84F5FE36FD6
CN=D-TRUST Limited Basic CA 1-4 2019, O=D-Trust GmbH, C=DE // Thumbprint E9CEA94A2046BBA8210120E89F312530E27C5DD2
So weit so gut, danach war das Zertifikat grün und alles war in Ordnung.
Ich hatte in den letzten Wochen jedoch mehrere Kunden, die sich bei uns gemeldet haben, um uns mitzuteilen, dass wir unsere E-Mails an sie doch bitte nicht verschlüsseln sollen. Jedes Mal ergab die Recherche, dass der Kunde ein Zertifikat besitzt, das von D-Trust ausgestellt und bei openkeys hochgeladen wurde. Ich habe es denen dann jeweils schriftlich begründet und aufgezeigt, woran es lag. Parallel dann unserem NSP gesagt, er solle an diese Domains kein SMIME mehr nutzen.
Eine Antwort - außer "Danke, wir gehen dem nach" - bekam ich nie daher habe ich auch keine Rückmeldung, woran es lag. Aber bisher sind alle Zertifikate noch bei openkeys drin.
Mit einem Kunden habe ich auch gesprochen, bei ihm hats bei D-Trust geklingelt, er sagte sie haben die Zertifikate gekauft für etwas anders, ganz weit entfernt von E-Mail-Security.
Daher vermutete ich, dass D-Trust im Bestellprozess irgendwo eine Checkbox versteckt hat, die bei Zustimmung die Zertifikate automatisch veröffentlicht....?!
Nun wurde ich gestern jedoch stutzig, da es halt vermehrt auftrat und alle diese vorher installierte Zertifikatskette nutzten. Mittlerweile glaube ich, dass es ein Mix aus beiden ist. Die Dinger werden unerwünscht zu openkeys geladen aber sind halt ohnehin nicht für SMIME vorgesehen. Die "D-TRUST Limited Basic Root CA" wird bei der Bundesdruckerei auch nur als "Sonstiges" gelistet.
Deswegen bin ich gestern auch daher gegangen und habe sowohl diese Root- sowie Sub-CA als auch alle Zertifikate, die von ihr kommen aus dem Speicher entfernt, damit nicht weiter damit verschlüsselt wird. Nun sollte es wieder laufen, es ergibt sich aber das neue Problem, dass jede Mail an so einen Empfänger einen Zertifikats-Fehler ins Log scheibt. Gibt es hier eine saubere Lösung? Spontan fällt mir ein entweder damit klarzukommen oder die Prüfung über openkeys zu deaktivieren - wird wohl beides nicht im Sinne des Erfinders sein?
Hat jemand etwas ähnliches beobachtet oder gar die Gründe nachvollzeihen können? Gibts eine Lösung dafür?
Grüße
Lukas
