• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Fehler in der Swisssign Schnittstelle?

m.kellner

Member
Hallo, wir haben folgende Nachricht von Swisssign erhalten. 


Sehr geehrte Zugangsverantwortliche

Bei einer Routineüberprüfung von Zertifikaten, haben wir festgestellt, dass einige Ihrer Zertifikate nicht den vorgegeben Regulatorien entsprechen und demnach nicht korrekt ausgestellt sind.
Bei den von Ihnen betroffenen Zertifikaten ist der CN nicht korrekt.


Bezüglich der Verwendung von E-Mail-Zertifikaten weisen wir als Erinnerung erneut darauf hin, dass aus Compliance-Gründen nur Zertifikate mit korrekten Inhalten beantragt und ausgestellt werden dürfen (siehe Kundenkommunikation Dezember 2020).  Insbesondere beim Namensfeld «Common Name» sind nur die folgenden Varianten erlaubt: 
Für E-Mail ID Gold Zertifikate 
1. Der exakte Name der Person, auf die das Zertifikat ausgestellt wird. Das bedeutet, dass nur der Eintrag von Vornamen und Nachnamen, OHNE Zusätze, Titel, Ziffern, Punkte oder Kommas erlaubt ist. 
2. Es darf auch ein Pseudonym eingetragen werden. Ein Pseudonym muss zwingend mit dem Präfix «pseudo: » gekennzeichnet werden. 


Ich habe dazu ein Ticket bei Nospamproxy (noch keine Antwort) und Swisssign eröffnet.

Hier die Antwort von Swisssign.

In unserer Nachricht halten wir folgende Vorgaben fest:
"Für E-Mail ID Gold Zertifikate
1. Der exakte Name der Person, auf die das Zertifikat ausgestellt wird. Das bedeutet, dass nur der Eintrag von Vornamen und Nachnamen, OHNE Zusätze, Titel, Ziffern, Punkte oder Kommas erlaubt ist.
2. Es darf auch ein Pseudonym eingetragen werden. Ein Pseudonym muss zwingend mit dem Präfix «pseudo: » gekennzeichnet werden."

Nehmen wir ein Fallbeispiel: /CN=Nachname, Vorname/Email=V.Vorname@Beispiel.com/O=Beispiel GmbH/C=DE
- Der Nachname steht vor dem Vornamen. Gewünscht ist Vorname dann Nachname
- Der Vor- und Nachname werden mit einem "Komma" getrennt. Gewünscht ist keine Trennung mithilfe von Sonderzeichen.


Ist das ein Fehler in der Schnittstelle oder kann ich da was umstellen?
Haben noch andere diese Nachricht erhalten oder kann mal jemand schauen wie sein CN aufgebaut ist?

Danke und Gruß Mike
 
Guten Morgen Mike,

auf welcher Version befindest du dich?
Ab Version 13.2.21111.1701 sollte das Problem nicht mehr auftreten.
SwissSign hat ihre Anforderungen zur Ausstellung der Zertifikate geändert. Der CN darf nun z.B. kein Komma mehr enthalten, was ziemlich häufig der Fall ist.


Gruß
Jan
 
JanJäschke schrieb:
Guten Morgen Mike,

auf welcher Version befindest du dich?
Ab Version 13.2.21111.1701 sollte das Problem nicht mehr auftreten.
SwissSign hat ihre Anforderungen zur Ausstellung der Zertifikate geändert. Der CN darf nun z.B. kein Komma mehr enthalten, was ziemlich häufig der Fall ist.


Gruß
Jan


Guten Morgen Jan, wir sind auf NoSpamProxy Version  13.2.21327.1706. Mir ist gerade folgendes aufgefallen. Ich kann beim beantragen den Anzeigenamen auf das gewünschte Format Vorname Nachname umstellen. Default ist da Nachname, Vorname ausgewählt. Wenn es bei Swisssign eh verboten ist, solltet ihr das da vielleicht korrigieren.

Gruß Mike
 
Hallo, 

bei einem Kunden vermutlich das Gleiche oder ein ähnliches Thema nun --> Zertifikate "Silver" lassen sich nicht mehr ausstellen (ggf. auch erst ab Version 14.0.0.4417).

Displayname des Users hat ein "," --> Nachname, Vorname
Es geht auch nicht wenn man manuell auf "Vorname Nachname" wechselt.
Die Felder "Vorname, Nachname, Displayname" im AD zu leeren bringt auch nichts (war nur ein Test).

Failed - Invalid request: First name(s) last name(s) = Secure Mail Gateway Certificate: First name(s) last name(s) must comply with the policies if First name(s) last name(s) is defined

Gibt ja eigentlich auch gar keinen Sinn, dass hier Vor und Nachname gesendet werden, da die Silverzertifikate doch nur die Emailadresse beinhalten.

Hier wird nun dringend eine Lösung benötigt, da keine Zertifikate mehr ausgestellt / erneuert werden können.

Danke vorab
 
Hallo Markus,

bei solch dringenden Themen empfiehlt es sich eher unseren Support zu kontaktieren =)

Was passiert wenn du das betroffene Zertifikat manuell für den Benutzer beantragst?
Läuft es dann auch in den gleichen Fehler?

Prüf bitte unbedingt auch ob der genutzte Produktname noch gültig ist. Bei den Silver Zertifikaten gibt/gab es eine Änderung der SwissSign. Zertifikate die nur auf der E-Mail Adresse basieren haben den Produktnamen "perso-silver-emailonly". Hier benutzen wir dann auch nichts anderes als die E-Mail Adresse.



Gruß
Jan
 
Hallo Jan,

Ja - die Tests waren manuell

Produktname ist gültig (mit "perso-silver-emailonly" hatte ich sogar eben auch getestet, da ich es von anderen Kunden kenne - "perso-silver-emailonly" ist aber ungültig laut Error vom Trustcenter)

Hat ggf. SwisSign jetzt auch für "perso-silver" die Richtlinie geändert und blockt wenn Vor + Nachname gesendet wird?

Gruß
Markus
 
Kurzes Status Update aus dem Support Case NSP und SwissSign, falls noch wer das Problem hat:

Für den SwissSign Product type "xxxxxxxx-perso-silver" erwartet SwissSign "CN=Secure Mail: Gateway Certificate".
Seitens NSP wird aktuell "CN=Secure Mail Gateway Certificate" (also ohne Doppelpunkt) gesendet.

Ursache ist also abweichend vom Username (erste Thema von Mike) wo kein Sonderzeichen sein sollte, diesmal ein Sonderzeichen welches aber da sein muss :)

Ich denke hier folgenden dann in Kürze Infos seitens Hersteller / Jan
 
Guten Morgen zusammen,

gestern habe ich es ledier nicht mehr geschafft, aber Markus hatte das wesentliche schon beschrieben.
Aktuell wird in der v14 leider beim Pseudonym "Secure Mail: Gateway Certificate" der Doppelpunkt entfernt.
Wir arbeiten schon daran ein Update zu veröffentlichen und bis es soweit ist meldet euch bitte über unseren Support solltet ihr in das Problem laufen.


Gruß
Jan
 
Zurück
Oben