Gelöst SwissSign MPKI - Info zur DomainValidierung

[mabu]

Hallo.

Nur mal für die zur Info, die die MPKI von SwissSign nutzen. Seit der Umstellung auf die neue MPKI hat SwissSign bisher keine Möglichkeit, den Kunden über den bevorstehenden Ablauf der Domain-Validierung zu informieren.

Das musste ich gestern eher zufällig feststellen. Die Fehler im NSP waren auch nicht direkt auf der Übersicht zu sehen. Nur unter "Schlüsselanforderung" und in "Ereignisanzeige" tauchten die Meldungen auf.

SwissSign-Support hat mir gestern dazu mitgeteilt:

Im Falle ablaufender Domains, wird derzeit keine Benachrichtigung an Sie gesendet.

Wir arbeiten bereits gemeinsam mit unserem CA-Hersteller an einer Lösung.

Aufgrund verschiedener Abhängigkeiten, kann noch nicht kommuniziert werden, wann diese Herausforderung gelöst sein wird

Dafür schickt SwissSign mit der neuen MPKI nun direkt an jede unserer Mailadressen ein oder zwei Erinnerungen, wenn Zertifikat demnächst abläuft, eine Mail nach Ablauf und eine Mail mit dem neuen Zertifikat. Kann man in der MPKI nicht unterdrücken. Nehme hier nur Mails von der no-reply-SwissSign-Adresse an eine bestimmte Funktionsadresse an. Alle anderen Mails von dem Absender blocke ich dann gleich beim Emfpang ohne NDR ab. Hat nur zu extrem vielen Rückfragen geführt.

 

[Sören]

Kann man in der MPKI nicht unterdrücken

ist auch richtig die müssen sich an die Vorlagen des CAB Forum halten wenn die ihre CA nicht verbrennen wollen.

 

[Tim321]

das Blöde ist, dass die Beantragung so saumäßig umständlich geworden ist - heißt nur noch über NSP beantragen, nicht mehr "manuell" mit dem Ergebnis, dass dann gerne mal Zertifikate, die revoziert werden sollten weiterlaufen. Stört mich nicht, aber Swisssign warum auch immer schon...

 

[wagnerv]

Guten Morgen,
ich weiß nicht ob ich was verpasst hab also steinigt mich bitte nicht.
seit heute moind bekommen wir beim Zertifikate ausstellen den Fehler : CAB_DNS Validation Failed , domain .... contains no txt records.

ich wie guter Itler direkt gegoogelt. kam auf die SwissSign info seite mit dem Eintrag von 2018 , dass die Umstellung auf domainvalidation geforced wird.

wie kommt es jetzt dazu? und was ist hier jetzt zu tun?
Vielleicht kann jemand das beantworten

 

[Tim321]

Zum Einen mussten neue Zertifikate eingespielt werden. Dazu hat Swisssign zwei mal Mails verschickt - im August und im Oktober meine ich. Zum Anderen musste bestätigt werden, dass die ausgestellten Zertifikate alle zu Recht ausgestellt und gültig sind, dazu hat Swisssign im September und im Oktober Mails verschickt.
Ich weiß nicht, ob es an einem der beiden Punkte liegt, könnte es mir aber vorstellen.

 

[mabu]

Morgen.

Schon mal im SwissSign Portal Eurer MPKI eingeloggt? Vermutlich kommt da der Hinweis, dass die Domain-Validierung ausgeführt werden muss.

"No text record" hört sich so an, als ob im DNS für Eure Domäne entweder der notwendige Eintrag komplett fehlt oder dieser einfach nur nicht mehr aktuell ist.

 

[wagnerv]

Danke für die Infos.
Die neuen Zertifikate hatte ich schon eingepflegt. Mail zu Bestätigung der Zertifikate haben wir leider nicht erhalten.

Im SwissSign (hab immer Angst das abzukürzen ) Portal steht absolut kein Kontext oder Relevanz zum aktuellen Problem.

Die DNS Records hatten wir früher nicht und aktuell auch nicht, da dafür ein Zufallswert von SwissSign gebraucht wird welchen wir auch nicht haben.
Alles seltsam.

 

[wagnerv]

ok, Problem gelöst. Man muss wohl jährlich die Domain validieren. Im Swisssign Portal Domäne erneut Validieren, neu generierten Key im DNS eintragen. gg ez

 

[Tim321]

Man muss wohl jährlich die Domain validieren. Im Swisssign Portal Domäne erneut Validieren, neu generierten Key im DNS eintragen.

Wie gesichert ist die Erkenntnis? Ich kann mich entsinnen, einmalig einen DNS-Eintrag erzeugt zu haben, dass das aber jährlich durchgeführt werden muss, wäre mir nicht bekannt. Nicht, dass ich nun was versäumt habe

 

[Sören]

Wie gesichert ist die Erkenntnis? Ich kann mich entsinnen, einmalig einen DNS-Eintrag erzeugt zu haben, dass das aber jährlich durchgeführt werden muss, wäre mir nicht bekannt.

CAB S/MIME BR : https://cabforum.org/working-groups/smime/documents/

Da wird in den nächsten Jahren noch mehr kommen...

 

[Tim321]

Das Browser-Forum geht mir inzwischen echt auf die Nüsse - als ob man nichts anderes zu tun hätte als deren Quatsch hinterherzulaufen. Sichere Kommunikation soll einfach funktionieren, die tun aber echt alles dafür, es so aufwändig wie irgend möglich zu machen.

 

[Sören]

Naja die machen halt ihren Job und bisher war das halt alles "Wilder Westen" bei S/MIME ... ich finde es super das endlich mal klare Regeln geschaffen werden.

 

[Tim321]

Dass klare Regeln geschaffen werden ist natürlich zu begrüßen, allerdings schießen sie oft über das Ziel hinaus finde ich.
Es entzieht sich mir z.B. völlig, wozu es gut sein soll, einen DNS-Eintrag zu erneuern. Entweder ich habe Zugriff auf meine DNS-Einstellungen oder eben nicht. Da wäre es sinnvoller, die OU jährlich zu validieren.
Es ist m.E. ein Rückschritt, dass die Passwörter für die Zertifikate zwanghaft von der vertrauenswürdigen Stelle verwaltet werden anstatt dies dem Zertifikatsinhaber zu überlassen.
Es entzieht sich mir, warum ich als MPKI-Stelle die Zertifikate nicht selbst bekommen kann, sondern zwanghaft der designierte Zertifikatsinhaber, sprich in der Folge der Mitarbeiter. Das verkompliziert den Prozess maßlos und bringt überhaupt nichts. Nach der Umstellung dieses? Jahr habe ich die ersten Zertifikate über die Swisssign-Webseite erstellt - was ein quälender Prozess, wenn man nicht über NSP beantragt.
usw.

Es wäre doch wünschenswert, dass sich eine sichere Mailkommunikation durchsetzt. Durch den teilweise extrem komplexen Prozess und die hohen Verwaltungshürden wird meines Erachtens jedoch das Gegenteil erreicht. Nix mit Keep it safe and simple.

 

[Sören]

Es entzieht sich mir z.B. völlig, wozu es gut sein soll, einen DNS-Eintrag zu erneuern. Entweder ich habe Zugriff auf meine DNS-Einstellungen oder eben nicht.

naja die CA weißt aber nicht, wie lange dir die Domain gehört...somit ist das schon völlig richtig ^^

Ansonsten, jeder, auch du, darf an der S/MIME Working Group mitarbeiten... da sind nicht nur CAen vertreten sondern auch die Consumer.

 

[wagnerv]

Wie gesichert ist die Erkenntnis? Ich kann mich entsinnen, einmalig einen DNS-Eintrag erzeugt zu haben, dass das aber jährlich durchgeführt werden muss, wäre mir nicht bekannt. Nicht, dass ich nun was versäumt habe

du wirst es schon mitbekommen wenn Zertifikate nicht mehr ausgestellt werden
Diese Erkenntnis hat mir SwissSign mitgeteilt. Was Support angeht sind die echt top.
Dass es jährlich sein sollte war mir auch so nicht bewusst.

 

[Tim321]

Ich habe eine solche Aufforderung nicht erhalten - und auch keinen neuen DNS-Eintrag erstellt. Ich wüsste auch nicht, wie ich herausfinden soll, was sie denn nun gerne als DNS-Eintrag hätten...

Was allerdings kam war heute eine Nachricht, dass zwischen dem 24.07.2023 und dem 03.11.2024 ausgestellte Zertifikate erneuert werden müssen, weil sie irgendwas verbockt haben.
Dann kam eine "Liste" mit einem einzigen Zertifikat, das allerdings war am 11.03.2023 ausgestellt - also außerhalb des genannten Zeitraums...

Die machen mich noch ganz wuschig die Schweizer.