• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

NSP lehnt Mail mit "Prüfung Zert-Kette fehlegschlagen" ab

mabu

Well-known member
Hallo.

Eine Mail ist beim Empfang abgelehnt worden (s. Screenshot)

Der Eintrag im Zertifikat (Absender hat es uns dann von web.de aus zugeschickt - da wurde die Mail dann auch inkl. der cer-Datei im Anhang angenommen - ich meine, der NSP prüft ja hier auch das Zertifikat beim Erhalt als Dateianhang auf Validität) zum CRL lautet: http://sec5.dgnservice.de/crl/crl2-type-e.crl

Das kann ich aufrufen. Nicht sicher, ob das so okay aussieht.

Fällt Euch da irgendwas auf? Evtl. war bei seinen Versuchen gestern zwischen 17 und 19 Uhr einfach die CRL wirklich nicht erreichbar.

Ich würde den Absender nun erst einmal in die Sonderregel mit aufnehmen, in der wir beim Empang die Zertliste nicht prüfen. Finde ich zwar blöd, aber die Liste wächst leider stetig :-(

Habe nun auch von https://www.dgn.de/support/downloads/dgn-trustcenter-zertifikate/ mal das dgnservice Root 7 (CER) und das CA2 mit im NSP importiert.

Bin nur nicht sicher, ob es nun auch ohne die Ausanhme der Prüfung Zertliste beim Empfang klappen würde.
 

Anhänge

  • screenshot.jpg
    screenshot.jpg
    12.6 KB · Aufrufe: 9
Hallo Martin,
ähnliches hatte ich letzten mit der PKI von Bayern.de
Hier waren die LDAP Server nicht erreichbar von Extern, und die Mails wurden dann auch abgelehnt wegen deinem Grund.

Ich hatte das mal als Feature Req. aufgegeben:
https://forum.nospamproxy.com/showthread.php?tid=417

Das man in der Console eine Art Übersicht hat ob alle Dienste und Services ereichbar sind, gerade auch LDAP, Openkeys. CRLs etc.

War bei dir wohl einfach nur der Dienst nicht erreichbar von dir aus.
wenn ich gerade per LDAP Admin auf die Server zugreife, sind die sehr langsam. Nicht das im NSP zu einem TimeOut kommt weil die nicht schnell genug antworten.
 
Guten Abend.

Ich hatte vorhin mit dem Absender Kontakt. Und aufgrund der Zuordnung seiner Mailadresse zur Sonderregel "ohne Prüfung Zertliste" kam die verschlüsselte und signierte Mail auch an.

Laut Nachrichtenverfolgung ist die CRL-prüfung aber wieder schief gegangen und hätte somit zur Ablehnung geführt. Und die CRL-URL konnte ich da auch so abrufen.

Schon nervig sowas. Somit könnte alles, was mit Signatur von DGN kommt, beim Empfang abgelehnt werden.

@NSP-Support: ich hatte im Ausgangseintrag die URL auf die Zertifikate von DGN eingetragen. Könnt Ihr da ein Problem mit der CRL erkennen? Wie geht Ihr denn bei Kunden mit solchen Problemen vor? Ich kann halt auch nicht einschätzen, ob es Problem auf unserer Seite (Zugriff vom NSP-Gateway auf die CRL - oder Bug im NSP) ist oder was bei DGN in diesem Fall.
 
Hallo Martin,
jetzt wäre es Interessant zu wissen ob das nur bei dir so passiert oder bei anderen auch.
Leider kenne ich derzeit niemanden der mit eine E-Mail zusenden könnte welche Signiert ist vom DGN.

Jetzt können wir nur warten was als Reaktion von NSP kommt.
 
Hallo zusammen,

das Thema hatten wir schon einmal (falls ich jetzt nichts missverstanden habe), deswegen mache ich einmal Copy&Paste:

[font=Tahoma, Verdana, Arial, sans-serif]'Ihr müsst neben der "[/font][font=Tahoma, Verdana, Arial, sans-serif]dgn[/font][font=Tahoma, Verdana, Arial, sans-serif]service Root 7" und "[/font][font=Tahoma, Verdana, Arial, sans-serif]dgn[/font][font=Tahoma, Verdana, Arial, sans-serif]service CA 2 Type E" noch die "[/font][font=Tahoma, Verdana, Arial, sans-serif]dgn[/font][font=Tahoma, Verdana, Arial, sans-serif]service Root 11" importieren.[/font]
[font=Tahoma, Verdana, Arial, sans-serif]Hintergrund ist, dass die OCSP Antworten der [/font][font=Tahoma, Verdana, Arial, sans-serif]DGN[/font][font=Tahoma, Verdana, Arial, sans-serif] mit einem Zertifikat signiert werden die von der "[/font][font=Tahoma, Verdana, Arial, sans-serif]dgn[/font][font=Tahoma, Verdana, Arial, sans-serif]service Root 11" stammen. Das ist natürlich auch nicht vertrauenswürdig. (Ist ja eine private PKI)[/font]
[font=Tahoma, Verdana, Arial, sans-serif]Danach kann der NSP die zertifikatskette komplett validieren und es ist alles grün [/font]
smile.png


[...]
'

[font=Tahoma, Verdana, Arial, sans-serif]Quelle: https://forum.nospamproxy.com/showthread.php?tid=421&pid=1522#pid1522[/font][/SIZE]


[font=Tahoma, Verdana, Arial, sans-serif]Gruß,[/font]
[font=Tahoma, Verdana, Arial, sans-serif]Jan[/font]
 
Zurück
Oben