• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Nutzung von OpenKeys - Verstädnisfrage

mabu

Well-known member
Sorry für die nächste Anfrage zu dem Thema. Aber ich muss das mal abschließend verstehen :huh: 

Im anderen Threat kam die Info, dass das Directory von EBCA in OpenKeys mit integriert ist.

Dies kann ich bei einigen Ergebnissen nachvollziehen. Also einige Mailadressen eines Unternehmens werden bei EBCA und bei OpenKeys gefunden (u.a. eon-energie.com)

Eine andere Domäne (epm.gmbh) wird bei EBCA in der Suche gefunden, bei OpenKeys aber nicht. Dies verstehe ich schon einmal nicht.

Bei EBCA findet man hier eine Filterliste mit den Domänen, die in dem Verzeichnis geführt werden. Somit würde es hier ja nur Sinn machen, das EBCA-Directory bei diesen Domänen aus der Liste auch abzufragen.

Frage 1: ist im NSP für die Nutzung von OpenKeys auch so eine Filterliste hinterlegt? Dann müsste hier ja z.B. auch die Filterliste der EBCA integriert sein.

Frage 2: Sollte es diese Filterliste für OpenKeys geben und epm.gmbh ist durch EBCA mit auf der Liste, wird ja kein Ergebnis zurückgeliefert (Websuche schlägt fehl). Fragt NSP dann die weiteren hinterlegten Keyserver ab?

Frage 3: EBCA-Keyserver ist im NSP konfiguriert - Websuche zur Mailadresse bringt auch ein Zertifikat. Warum aber der NSP beim Mailversand an diese Adresse nicht? Und wie grenze ich so ein Problem näher ein?

Ich hoffe, dass ist verständlich geschrieben. Mir ist halt noch nicht ganz klar, wie das technisch im NSP im Hintergrund bei der Suche nach Zertifikaten abläuft. Finde dazu bisher auch leider nichts, was Licht ins Dunkel bringt.
 
Wie an anderer Stelle bereits erwähnt, gibt es einen Missmatch zwischen der verlinkten Filterliste und der Liste, die wir als Open Keys ansprechen können. TeleTrust ist bereits informiert und bereinigt das gerade.

Gruß Stefan
 
Hallo Stefan.

Das hört sich gut an. Bin gespannt, wie lange das dauert.

Aber noch einmal zu meiner "Frage 3": hätte der NSP nicht durch den EBCA-Keyserver-Eintrag aber auch das Zertifikat finden können? Oder kommt die Abfrage aufgrund der "Zuordnung" izu OpenKeys dann gar nicht mehr auf weitere Keyserver?


Für OpenKeys gibt es keine Übersicht, welche Domänen da alle so integriert sind, oder?
 
Die Änderung ist schon auf dem Weg. Spätestens morgen wird es funktionieren.
Zu der Frage: Bei dem fraglichen Zertifikat handelt es sich um ein Zertifikat aus dem EON Konzern. Die EBCA fragt mit dem Zertifikatsserver die LDAP-Server aller EBCA-Teilnehmer ab, so auch den LDAP Server von EON. Über diese Anbindung gelangt das Zertifikat in den Schlüsselserver der EBCA. Open Keys selbst fragt den EBCA Schlüsselserver nur dann nach einem Zertifikat, wenn die Domain der E-Mail-Adresse im Zertifikat, auf der Filterliste steht. Steht die Domain nicht drauf, fragen wir nicht nach. Da Open Keys nicht den LDAP Server von EON direkt abfragt, hatten wir also keine Chance irgendwie anders an das Zertifikat zu kommen.

Folgende LDAP Repositories fragen wir Stand heute ab:
cert-download.arbeitsagentur.de
dir.ebca.de (European Bridge CA / TeleTrust)
directory.bayern.de (Verwaltungs-PKI Bayern)
directory.d-trust.de (D-Trust / Bundesdruckerei)
directory.pki.digicert.com (DigiCert CA)
directory.swisssign.net (SwissSign CA)
ldap.a-trust.at (A-Trust CA)
ldap.crl.esecure.datev.de (Datev)
ldap.fraunhofer.de (Fraunhofer CA)
ldap.pca.dfn.de (Deutsches Forschungsnetz CA)
ldap.sbca.telesec.de (Telesec / T-Systems CA)
ldap.volksverschluesselung.de (CA der Volksverschlüsselung)
x500.bund.de (Verwaltungs-PKI des Bundes)


Gruß Stefan
 
Danke. Dann bin ich gespannt.

Somit gibt es im NSP für die Nutzung von OpenKeys eine Filterliste, die genutzt wird.

So ganz klar ist mir nur noch nichts, warum durch den separaten dir.ebca.de-Eintrag bei uns im NSP nicht doch ein Zert gefunden worden ist. Diese Abfrage scheint dann gar nicht mehr durchgeführt worden zu sein.

Und wenn Ihr z.B. directory.d-trust.de (D-Trust / Bundesdruckerei) in OpenKeys mit abfragt, muss ich die von Dir genannten LDAP Repositories dann ja auch nicht mehr separat im NSP bei den Keyservern hinzufügen. Korrekt?


Es ist schon komplex. Ich fände es immer noch super, wenn ich im NSP eine Möglichkeit hätte, die hinterlegten Keyserver zu testen. Also ein Eingabefeld für eine Mailadresse und dann "Abfrage starten". Am besten wird dann hinter jedem Eintrag angezeigt, ob was gefunden wird oder nicht. Kann ich das als Feature Request einstellen?
 
Korrekt, die von OpenKeys abgefragten Repositories müssen nicht gesondert noch einmal eingetragen werden.

Den Feature Request bzgl. der Tests nehme ich gerne mit auf. 

Gruß Stefan
 
OK, Feature Request ist aufgenommen und offiziell "Approved". Einen Umsetzungszeitraum kann ich derzeit leider noch nicht nennen.

Gruß Stefan
 
Hallo.

Ist die Umsetzung des hier angefragten Feature Requests eigentlich in Version 14 mit integriert worden? Bin da gerade über meine damalige Anfrage gestolpert.
 
Hallo Martin,

nein das Feature haben wir noch nicht bearbeitet.
Mit der v14 ist so viel passiert, dass wir genau schauen mussten wie wir was priorisieren =)

Gruß
Jan
 
Zurück
Oben