• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

DGN S/Mime Probleme

Robert Klarmann

Active member
Hallo zusammen,

ich habe mir privat ein kostenloses S/Mime Zertifikat vom DGN (Deutschen Gesundheits Netz) geholt. Die betreffenden Root CAs habe ich im NSP hinzugefügt.
Mein S/Mime Zertifikat ist auf meiner Sophos UTM für meinen User hinterlegt und diese signiert auch sauber mit dem Zertifikat.
Schicke ich nun auf unseren Firmen NSP eine signierte Email, so wird diese abgelehnt

"     Die Zustellung wurde aufgrund dieser Ursachen verhindert:
  • Die Überprüfung der Zertifikatskette ist fehlgeschlagen."
 
Hallo, kurze Info.
also bisher klappt das immer noch nicht, div. Tests melden immer, dass keine Verbindung zur den Revocation Servern aufgebaut werden kann.

Daher kann NSP die Zertifikate nicht prüfen. eine Anfrage beim dgn.de blieb bisher unbeantwortet.

#
Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
------------------------------------
Sperrungsüberprüfung übersprungen -- Server ist offline
Das Zertifikat ist ein Endeinheitzertifikat
#
 
Hallo ffischer,

mal ein Wortlaut direkt von uns.
Wir werden ebenfalls versuchen mit der DGN in Kontakt zu treten.

Wir haben eine Mögliche Ursache für das Problem gefunden, demnach wäre es ein Zusammenspiel zwischen der DGN CA und Windows Zertifikatsvalidierung.

Sobald wir genauere Informationen haben werde ich hier noch einmal schreiben.


Gruß
Jan
 
Hallo,
habe Antwort bekommen vom Support DGN

##
Wie wir Ihrer Anfrage entnehmen, nutzen Sie das DGN-MailCert. Hierbei handelt es sich um ein kostenloses Angebot, welches den Einstieg in die Kryptographie erleichtern soll. Bitte haben Sie Verständnis dafür, dass wir für dieses Angebot keinen Sperrdienst und keinen OCSP-Responder betreiben.
##

Öm..ok damit hätte ich nun nicht gerechnet...
Dann kan man mit diesen Zertifikaten zwar arbeiten aber nur "privat " , verifizieren geht nicht, und das macht der NSP ja.


Grüsse
 
Hallo ffischer,

das ist ja eine sehr interessante Aussage o.0
Leider warte ich noch auf eine weitere Rückmeldung in welcher es um einen deutlich tieferen teschnichen Hintergrund geht.
Mir liegt leider kein Endbenutzer Zertifikat vor aber ich habe die "dgnservice_CA_2_Type_EPN" Sub CA. In dieser sind auch sperrlisten angegeben aber leider in einer nicht von Windows unterstützen Form.

Ich schaue mal was die DGN noch zurückmeldet :)

Gruß,
Jan
 
Hallo Jan,
ja der Sinn dahinter erschließt sich mir auch nicht.
Fraglich ist dann ja noch ob man hier sein Zertifikat sperren lassen kann sofern mal kompromittiert und selbst wenn.
Es kann ja nicht geprüft werden.
Ich bin gespannt ob DGN sich bei dir meldet.

Grüße Frank
 
Hallo zusammen,

also mit so was hab ich ja nun wirklich nicht gerechnet. Entweder betreibt man eine Infrastruktur ganz oder gar nicht. Auch wenn es ein kostenloses Angebot ist, sollte man sich an die Spielregeln halten und vor allem dann wenn das eigentlich ursprünglich für den medizinischen Bereich konzipiert wurde. Ich möchte nicht wissen, wie viele Ärzte etc. die kostenlosen DGN Zertifikate einsetzen. (Ich kenn einige Praxen, die mit der IT extremst sparsam unterwegs sind ...)

@Frank: Danke nochmal für die Mühe!

Robert
 
Hallo,
ich glaube damit hätte niemand gerechnet, vielleicht bekommt Jan noch was raus.
Aber so gehts nicht.
Wenn ich mir das im LDAP Verzeichnis anschaue gibt es hier viele Kunden im Medizinischen Bereich.
Jedoch sind dort keine SMIME Zertifikate hinterlegt, lediglich Einträge.
Also ganz sauber ist das nicht. Eventuell ist manches nur aus einem KV Netz zu erreichen. Müsste ich mal prüfen.

@Robert, keine Ursache - immer wieder gern.

Grüße
Frank
 
Robert Klarmann schrieb:
 und schaffen Vertrauen bei Ihren Kommunikationspartnern."

nicht wirklich wie wir feststellen konnten. Fraglich ist ob die das Nachbessern.
Ohne die korrekte Funktionsfähigkeit von Sperrdienst und OCSP-Responder sehe ich da schwarz.

Gut mag sein das es so ja Funktioniert zwischen Outlook 1:1, aber die Einrichtungen/Firmen etc. die einen NoSpamProxy einsetzen oder irgend eine andere Security Lösung welches prüft ob das Zertifikat gesperrt etc ist, schauen hier in die Röhre. 

Hoffen wir mal das das DGN das noch korrigiert.

@Jan, hast du was gehört von DGN auf die Anfrage von NSP direkt ?

Grüße
 
Guten Morgen zusammen,

ich habe zwar mitlerweile eine Rückmeldung der DGN aber auch diese ist nicht sonderlich hilfreich.
Sämtliche Aussagen die wir nun gesammelt haben (durch Support Tickets, meine Anfrage und euch) sind ziemlich widersprüchlich :/

Ich habe mir nun selbst ein DGN Zertifikat ausgestellt und werde das nochmal genaustens auseinander nehmen, laut Dokumentation soll man das auch revozieren können ^.^

Somit bleibt uns leider bisher nur im NSP eine Ausnahmeregel zu nutzen und nicht die Gültigkeit des Zertifikts zu prüfen um DGN signierte E-Mails annehmen zu können.


Ich hoffe wir werden hier noch auf einen grünen Zweig kommen.

Ich halte euch auf dem laufenden.


Gruß,
Jan
 
Hallo zusammen,

ich habe das Thema nun noch einmal von Grundauf durchleuchtet und analysiert.

Ihr müsst neben der "dgnservice Root 7" und "dgnservice CA 2 Type E" noch die "dgnservice Root 11" importieren.
Hintergrund ist, dass die OCSP Antworten der DGN mit einem Zertifikat signiert werden die von der "dgnservice Root 11" stammen. Das ist natürlich auch nicht vertrauenswürdig. (Ist ja eine private PKI)
Danach kann der NSP die zertifikatskette komplett validieren und es ist alles grün :)

Der der Vollständigkeit halber:
Es wird eine CRL und auch OCSP bereitgestellt. Ebenfalls kann man sein Zertifikat prinzipiell revozieren lassen, dies wird aber nur per Kontaktanfrage gehen. Die PKI ist momentan nicht darauf ausgelegt, dass dies automatisch gemacht werden kann.

Generell habe ich noch als Feedback mitbekommen, dass man noch nicht weiß wie lange die PKI überhaupt noch laufen wird.
Die CAs sind nur noch bis 2024/2025 momentan gültig und ob man dann erneut eine öfeentliche bereitstellt bleibt abzuwarten.


LG
Jan
 
Hallo Jan,
danke fürs reinhängen.
Dann kann es Robert ja mal probieren.

Aber das Feedback das man nicht weiß wie lang die PKI noch laufen wird ist auch nicht schlecht.

Grüße
Frank
 
Hallo Frank,

zumindest noch bis 2024, dann läuft die Sub-CA ab. Ich denke nicht, dass sie die vorher einstellen werden.
Und dann mal sehen, die gesamte PKI ist wohl eigentlich aus einem internen Bedarf entstanden, erst nach externer Anfrage hat man sich dann geöffnet.

Ich hoffe ebenfalls auf Feedback durch Robert.


Gruß
Jan
 
Hallo Jan,
das ist ähnlich wie die PKI von bayern.de
Überall wo die zum Einsatz kommt, müssen alle CAs vorhanden sein.
Immerhin, saubere LDAP Abfragen und CRL und auch OCSP.

Grüße
 
Zurück
Oben