-
Bewerte uns auf OMR Reviews: Klick
-
Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.
Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an.
Gelöst Neue zusätzliche CA für arbeitsagentur.de, jobcenter-ge.de
- Ersteller ffischer
- Erstellt am
Hallo @JanJäschke,
wäre es nicht Zeit ein Feature zu Implementieren, worüber die Kunden solche Zertifikate auf ihrer Instanz automatisch eingespielt bekommen?! Weil es ist mehr oder weniger aus meiner Sicht eine ABM für die Admins. Mal mehr, mal weniger. Gerne auch mit Kategorien (Bundes, Land, Krankenkassen, Industrie, etc.). Mir schwebt ein ähnliches System, wie mit der CSA Whitelist vor. Klar, man wird nicht alle erwischen. Aber evtl. können Kunden auch Anbieter melden, welche aufgenommen werden sollen.
Somit wäre das eine Win-Win Situation und mit der Zeit werden vermutlich 99% der Anbieter abgedeckt sein. Schlussendlich würde da sicherlich die bereits hohen Kundenzufriedenheit nochmals ein Stück zunehmen.
Was ist deine Meinung dazu?
Natürlich dürfen sich auch alle anderen Kunden hier Forum dazu äußern.
Gruß,
Dani
wäre es nicht Zeit ein Feature zu Implementieren, worüber die Kunden solche Zertifikate auf ihrer Instanz automatisch eingespielt bekommen?! Weil es ist mehr oder weniger aus meiner Sicht eine ABM für die Admins. Mal mehr, mal weniger. Gerne auch mit Kategorien (Bundes, Land, Krankenkassen, Industrie, etc.). Mir schwebt ein ähnliches System, wie mit der CSA Whitelist vor. Klar, man wird nicht alle erwischen. Aber evtl. können Kunden auch Anbieter melden, welche aufgenommen werden sollen.
Somit wäre das eine Win-Win Situation und mit der Zeit werden vermutlich 99% der Anbieter abgedeckt sein. Schlussendlich würde da sicherlich die bereits hohen Kundenzufriedenheit nochmals ein Stück zunehmen.
Was ist deine Meinung dazu?
Natürlich dürfen sich auch alle anderen Kunden hier Forum dazu äußern.
Gruß,
Dani
Hallo zusammen,
mich würde die Meinung aller anderen tatsächlich sehr interessieren. Ich selbst bin da äußerst skeptisch, vor allem bei dem Begriff "automatisch". Wir als Hersteller würden uns dann dazu heraufschwingen zu bestimmen, welchen privaten CAs (das sind alle CAs, die nicht über einen public Trust verfügen) unsere Kunden vertrauen sollen und welchen nicht. Das möchte ich ehrlich gesagt nur sehr ungern. Leider ist es immer noch so, dass die allermeisten CAs nicht mal eine CP haben, so dass man sich kein Bild vom Betrieb der CA und den Bedingungen machen kann, unter denen Zertifikate ausgestellt und revoziert werden.
Auch die Aussage, dass man nicht alle erwischen wird, möchte ich noch einmal einordnen: Leider ist es immer noch so, dass es etliche Unternehmen gibt, die Zertifikate aus einer selbstbetriebenen CA für den Austausch mit externen Kommunikationspartnern verwenden. In aller Regel aus Kostengründen. Versteht mich nicht falsch, der Betrieb einer CA ist absolut sinnvoll, solange die Zertifikate zur internen Absicherung verwendet werden (NAC, Logon etc.) Sobald das Zertifikat aber nach extern verwendet wird, hört aus meiner Sicht der Verwendungsbereich ganz klar auf. Mal kurz und knapp auf den Punkt gebracht möchte ich solchen CAs nicht vertrauen. Es gibt Ausnahmen, über die man reden kann, aber das sind nur wenige. Die PKI der BA oder die Bayern PKI sind Beispiele dafür.
Aus meiner Sicht kann ich mir ein Zertifikats-Bundle vorstellen, das wir zur Verfügung stellen, ohne jedwede Garantie für Vollständigkeit oder sonst irgendetwas zu übernehmen.
Gruß Stefan
mich würde die Meinung aller anderen tatsächlich sehr interessieren. Ich selbst bin da äußerst skeptisch, vor allem bei dem Begriff "automatisch". Wir als Hersteller würden uns dann dazu heraufschwingen zu bestimmen, welchen privaten CAs (das sind alle CAs, die nicht über einen public Trust verfügen) unsere Kunden vertrauen sollen und welchen nicht. Das möchte ich ehrlich gesagt nur sehr ungern. Leider ist es immer noch so, dass die allermeisten CAs nicht mal eine CP haben, so dass man sich kein Bild vom Betrieb der CA und den Bedingungen machen kann, unter denen Zertifikate ausgestellt und revoziert werden.
Auch die Aussage, dass man nicht alle erwischen wird, möchte ich noch einmal einordnen: Leider ist es immer noch so, dass es etliche Unternehmen gibt, die Zertifikate aus einer selbstbetriebenen CA für den Austausch mit externen Kommunikationspartnern verwenden. In aller Regel aus Kostengründen. Versteht mich nicht falsch, der Betrieb einer CA ist absolut sinnvoll, solange die Zertifikate zur internen Absicherung verwendet werden (NAC, Logon etc.) Sobald das Zertifikat aber nach extern verwendet wird, hört aus meiner Sicht der Verwendungsbereich ganz klar auf. Mal kurz und knapp auf den Punkt gebracht möchte ich solchen CAs nicht vertrauen. Es gibt Ausnahmen, über die man reden kann, aber das sind nur wenige. Die PKI der BA oder die Bayern PKI sind Beispiele dafür.
Aus meiner Sicht kann ich mir ein Zertifikats-Bundle vorstellen, das wir zur Verfügung stellen, ohne jedwede Garantie für Vollständigkeit oder sonst irgendetwas zu übernehmen.
Gruß Stefan
Hallo,
@StefanCink also allen blind zu vertrauen würde ich hier auch nicht.
Vielleicht dann eher die Möglichkeit die Quellen anzubieten so wie ich das derzeit immer wieder mache und hier mal CAs hinzufüge.
Allen so zu vertrauen wäre keine gute Idee. Bei den meisten Kunden, gerade Behörden auch nur die Bayern PKI und BA.
Sonst nur die aus openKeys und die ist ja von NSP gepflegt.
Ich bin gespannt, wer sich hierzu noch meldet.
@869288141 am besten machen wir hier einen neuen Thread auf.
@StefanCink also allen blind zu vertrauen würde ich hier auch nicht.
Vielleicht dann eher die Möglichkeit die Quellen anzubieten so wie ich das derzeit immer wieder mache und hier mal CAs hinzufüge.
Allen so zu vertrauen wäre keine gute Idee. Bei den meisten Kunden, gerade Behörden auch nur die Bayern PKI und BA.
Sonst nur die aus openKeys und die ist ja von NSP gepflegt.
Ich bin gespannt, wer sich hierzu noch meldet.
@869288141 am besten machen wir hier einen neuen Thread auf.
Hallo Frank,
Hallo Stefan,
Gruß,
Daniel
gerne, trenn die Thematik gerne raus.
Hallo Stefan,
dann muss die Konsequenz sein, dass es gar kein Bundle gibt. Weil bei der BA weiß ich, dass da auch schon mal Mist gelaufen ist. Genauso wie bei den ganz großen in der Vergangenheit, z.B. Symantec. Wo fängst du an und wo hörst du auf zu vertrauen?
Bin ich voll uns ganz bei dir.
Evtl. ist das Bundle eine suboptimale Variante. Ist ein GitHub Repository die bessere Wahl, um die Hürde für Kunden "zum Mitmachen" zu minimieren und zu gleich eine zentralen Ablaufpunkt zu haben?
Gruß,
Daniel
Per Repo bei GitHub, Pull-Requests für die Aufnahme der Zertifikate sowie ein Download und Import Skript könnte ich mir das persönlich auch vorstellen. So ergibt sich vlt. ein Community getriebener Bereich der Zertifikate und wir sind nur die die euch zusammen bringen
keine gute Idee...Per Repo bei GitHub, Pull-Requests für die Aufnahme der Zertifikate sowie ein Download und Import Skript könnte ich mir das persönlich auch vorstellen. So ergibt sich vlt. ein Community getriebener Bereich der Zertifikate und wir sind nur die die euch zusammen bringen
Sowas muss schon auditiert sein, sonst schiebt einem jemand eine Root unter die man nicht haben will.
Zuletzt bearbeitet:
Wo wir wieder bei euch wären, oder?
jup, sehe ich auch so
Einmal ein Update an dieser Stelle:
github.com
Das CA Bundle Repo ist nun Live
GitHub - noSpamProxy/smime-ca-bundle
Contribute to noSpamProxy/smime-ca-bundle development by creating an account on GitHub.
github.com
Das CA Bundle Repo ist nun Live
Hey,
Da muss ich wohl die Einleitung nochmal überarbeiten
Pull Request oder als Issue ist unser Gedanke. Nicht jeder ist fit mit Git und da ist ein issue schneller erstellt.
Wir Reviewen das dann und entscheiden ob wir die Änderung gut heißen.
Beim PR werden auch vorab schon Checks gemacht damit das Repo möglichst einheitlich bleibt was Benamung und Format der Zertifikate angeht
Gruß
Jan
Da muss ich wohl die Einleitung nochmal überarbeiten
Pull Request oder als Issue ist unser Gedanke. Nicht jeder ist fit mit Git und da ist ein issue schneller erstellt.
Wir Reviewen das dann und entscheiden ob wir die Änderung gut heißen.
Beim PR werden auch vorab schon Checks gemacht damit das Repo möglichst einheitlich bleibt was Benamung und Format der Zertifikate angeht
Gruß
Jan
Guten Morgen,
erstellt man nun ein pull req. oder anderweitig Anfrage auf das hinzufügen von CAs?
Aktuell => https://rootca.gv-bayern.de/ - Genossenschaftsverbandes Bayern e. V.
erstellt man nun ein pull req. oder anderweitig Anfrage auf das hinzufügen von CAs?
Aktuell => https://rootca.gv-bayern.de/ - Genossenschaftsverbandes Bayern e. V.
Guten Morgen Frank,
entweder direkt einen PR oder ein Github issue - je nach dem was du präferierst.
Gruß
Jan
entweder direkt einen PR oder ein Github issue - je nach dem was du präferierst.
Gruß
Jan
