Gelöst Verständnisfrage - Domainverschlüsselung einer Subdomain

[mabu]

Hallo.

Bei mir kam gerade die Info eines IT-Dienstleisters einer größeren Krankenkasse an und ich bin mir gerade nicht sicher, ob ich da im NSP wirklich was tun muss. Daher mal diese Anfrage.

Ich nehme mal bw.test.de als bisher von der Krankenkasse genutzte Domäne. Dafür wird ein Domainzertifikat zur Verfügung gestellt und dies ist im Partner bw.test.de auch korrekt zugeordnet. Somit wird jede ausgehende Mail an bw.test.de damit verschlüsselt.

Nun ist die Info, dass diese Krankenkasse zusätzlich auch service.bw.test.de für E-Mail-Kommunikation nutzen wird und das gleiche Domänenzertifikat auch für diese Domäne zugeordnet werden soll.

Ist dies im NSP nicht bereits durch den Partner bw.test.de mit abgedeckt? Also würde eine Mail an ...@service.bw.test.de auch mit dem Domänenzertifikat für bw.test.de verschlüsselt, oder nicht?

Und wenn nicht, kann ich ein schon zugeordnetes Zertifikat in einem neu angelegten Partner auch noch einmal zuordnen? Also zumindest bw.test.de ist in beiden Partnern ja mit vorhanden.

 

[Sören]

auch service.bw.test.de für E-Mail-Kommunikation nutzen wird und das gleiche Domänenzertifikat auch für diese Domäne zugeordnet werden soll.

was ein unsinn

der Domainpart muss schon "matchen" sonst nutzen wir es nicht

also einfach gesagt: wir werden niemals mit dem Zertifikat für bw.test.de an service.bw.test.de verschlüsseln

Und wenn nicht, kann ich ein schon zugeordnetes Zertifikat in einem neu angelegten Partner auch noch einmal zuordnen?

nein und nein, es geht immer nur an einem Partner und wie gesagt, die Domain muss matchen

Also diese Domain Zertifikate sind ja selbst schon falsch, aber das was die Krankenkasse da vor hat fällt in die Kategorie: GANZ FALSCH

 

[mabu]

Danke Dir. Dann bin ich mal gespannt, welche Rückmeldung ich von dort erhalte.

 

[JanJäschke]

FYI:

Ich habe heute eine Anfrage an die vermeintliche KK geschickt.
Interessanterweise kam auch eine größere deutsche Bank auf diese glorreiche Idee, auch da ist die Anfrage bereits offen.

Im Produkt hat Sören es schon beschrieben, lassen wir es nicht zu.

 

[mabu]

Ich hatte es dem Dienstleister mitgeteilt. Die hatten dann die Telekom mit ins Ticket genommen. Und keine 2 Stunden später gab es das Zertifikat für die service.-Domäne.

Somit ist es bei uns im NSP nun hinterlegt und zugeordnet

 

[JanJäschke]

Danke für das Feedback, behalte ich schon mal im Hinterkopf

 

[Tim321]

Da hab ich jetzt eine Verständnisfrage.
Die domain ist test.de egal, was da davor kommt, das sind nur subdomains. Ein Wildcardzertifikat, also *.test.de deckt das alles ab.
Ich weiß jetzt nicht, ob die Wildcards nur für ssl gelten oder auch für tls möglich sind, aber so oder so, der Inhaber von test.de ist doch zwingend auch der Inhaber von service.bw.test.de oder?

 

[Sören]

Ein Wildcardzertifikat, also *.test.de

Es gibt keine Wildcard bei S/Mime ...das würde S/Mime komplett ad absurdum führen.

 

[Tim321]

Bei S/Mime klar nicht, aber so wie ich es verstanden habe, geht es hier ja um die gesicherte Verbindung, also TLS

 

[Sören]

aber so wie ich es verstanden habe, geht es hier ja um die gesicherte Verbindung, also TLS

es geht hier um S/Mime