• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Neue zusätzliche CA für arbeitsagentur.de, jobcenter-ge.de

ffischer

Moderator

Zur Info
ab dem 14.06.2024 wird die Zertifikatskette der E-Mail-Verschlüsselung für die Bundesagentur für Arbeit (@arbeitsagentur.de), der Jobcenter (@jobcenter-ge.de) und des Instituts für Arbeitsmarkt- und Berufsforschung (@iab.de) erweitert.

Es wurde eine neue Root-CA ausgestellt: BA-Class-1-Root-CA-4

Als neue ausstellende CA, kommt die BA-VPS-CA-11 hinzu.
 

Anhänge

  • CA-Zertifikate-BA.zip
    3.2 KB · Aufrufe: 4
Hallo @JanJäschke,
wäre es nicht Zeit ein Feature zu Implementieren, worüber die Kunden solche Zertifikate auf ihrer Instanz automatisch eingespielt bekommen?! Weil es ist mehr oder weniger aus meiner Sicht eine ABM für die Admins. Mal mehr, mal weniger. Gerne auch mit Kategorien (Bundes, Land, Krankenkassen, Industrie, etc.). Mir schwebt ein ähnliches System, wie mit der CSA Whitelist vor. Klar, man wird nicht alle erwischen. Aber evtl. können Kunden auch Anbieter melden, welche aufgenommen werden sollen.

Somit wäre das eine Win-Win Situation und mit der Zeit werden vermutlich 99% der Anbieter abgedeckt sein. Schlussendlich würde da sicherlich die bereits hohen Kundenzufriedenheit nochmals ein Stück zunehmen. ;)

Was ist deine Meinung dazu?
Natürlich dürfen sich auch alle anderen Kunden hier Forum dazu äußern.


Gruß,
Dani
 
Hallo zusammen,
mich würde die Meinung aller anderen tatsächlich sehr interessieren. Ich selbst bin da äußerst skeptisch, vor allem bei dem Begriff "automatisch". Wir als Hersteller würden uns dann dazu heraufschwingen zu bestimmen, welchen privaten CAs (das sind alle CAs, die nicht über einen public Trust verfügen) unsere Kunden vertrauen sollen und welchen nicht. Das möchte ich ehrlich gesagt nur sehr ungern. Leider ist es immer noch so, dass die allermeisten CAs nicht mal eine CP haben, so dass man sich kein Bild vom Betrieb der CA und den Bedingungen machen kann, unter denen Zertifikate ausgestellt und revoziert werden.
Auch die Aussage, dass man nicht alle erwischen wird, möchte ich noch einmal einordnen: Leider ist es immer noch so, dass es etliche Unternehmen gibt, die Zertifikate aus einer selbstbetriebenen CA für den Austausch mit externen Kommunikationspartnern verwenden. In aller Regel aus Kostengründen. Versteht mich nicht falsch, der Betrieb einer CA ist absolut sinnvoll, solange die Zertifikate zur internen Absicherung verwendet werden (NAC, Logon etc.) Sobald das Zertifikat aber nach extern verwendet wird, hört aus meiner Sicht der Verwendungsbereich ganz klar auf. Mal kurz und knapp auf den Punkt gebracht möchte ich solchen CAs nicht vertrauen. Es gibt Ausnahmen, über die man reden kann, aber das sind nur wenige. Die PKI der BA oder die Bayern PKI sind Beispiele dafür.
Aus meiner Sicht kann ich mir ein Zertifikats-Bundle vorstellen, das wir zur Verfügung stellen, ohne jedwede Garantie für Vollständigkeit oder sonst irgendetwas zu übernehmen.
Gruß Stefan
 
Hallo,
@StefanCink also allen blind zu vertrauen würde ich hier auch nicht.
Vielleicht dann eher die Möglichkeit die Quellen anzubieten so wie ich das derzeit immer wieder mache und hier mal CAs hinzufüge.
Allen so zu vertrauen wäre keine gute Idee. Bei den meisten Kunden, gerade Behörden auch nur die Bayern PKI und BA.
Sonst nur die aus openKeys und die ist ja von NSP gepflegt.

Ich bin gespannt, wer sich hierzu noch meldet.

@869288141 am besten machen wir hier einen neuen Thread auf.
 
Hallo Frank,
@869288141 am besten machen wir hier einen neuen Thread auf.
gerne, trenn die Thematik gerne raus.

Hallo Stefan,
Mal kurz und knapp auf den Punkt gebracht möchte ich solchen CAs nicht vertrauen. Es gibt Ausnahmen, über die man reden kann, aber das sind nur wenige. Die PKI der BA oder die Bayern PKI sind Beispiele dafür.
dann muss die Konsequenz sein, dass es gar kein Bundle gibt. Weil bei der BA weiß ich, dass da auch schon mal Mist gelaufen ist. Genauso wie bei den ganz großen in der Vergangenheit, z.B. Symantec. Wo fängst du an und wo hörst du auf zu vertrauen?
Versteht mich nicht falsch, der Betrieb einer CA ist absolut sinnvoll, solange die Zertifikate zur internen Absicherung verwendet werden (NAC, Logon etc.)
Bin ich voll uns ganz bei dir.

Aus meiner Sicht kann ich mir ein Zertifikats-Bundle vorstellen, das wir zur Verfügung stellen, ohne jedwede Garantie für Vollständigkeit oder sonst irgendetwas zu übernehmen.
Evtl. ist das Bundle eine suboptimale Variante. Ist ein GitHub Repository die bessere Wahl, um die Hürde für Kunden "zum Mitmachen" zu minimieren und zu gleich eine zentralen Ablaufpunkt zu haben?


Gruß,
Daniel
 
Per Repo bei GitHub, Pull-Requests für die Aufnahme der Zertifikate sowie ein Download und Import Skript könnte ich mir das persönlich auch vorstellen. So ergibt sich vlt. ein Community getriebener Bereich der Zertifikate und wir sind nur die die euch zusammen bringen :)
 
Per Repo bei GitHub, Pull-Requests für die Aufnahme der Zertifikate sowie ein Download und Import Skript könnte ich mir das persönlich auch vorstellen. So ergibt sich vlt. ein Community getriebener Bereich der Zertifikate und wir sind nur die die euch zusammen bringen :)
keine gute Idee...

Sowas muss schon auditiert sein, sonst schiebt einem jemand eine Root unter die man nicht haben will.
 
Zuletzt bearbeitet:
Zurück
Oben