NoSpamProxy Forum
D-Trust Limited Basic bei openkeys - Druckversion

+- NoSpamProxy Forum (https://forum.nospamproxy.com)
+-- Forum: NoSpamProxy Server (https://forum.nospamproxy.com/forumdisplay.php?fid=1)
+--- Forum: OpenKeys (https://forum.nospamproxy.com/forumdisplay.php?fid=7)
+--- Thema: D-Trust Limited Basic bei openkeys (/showthread.php?tid=481)



D-Trust Limited Basic bei openkeys - lukas - 21.01.2022

Hallo zusammen

mir ist im NSP etwas aufgefallen, hat jemand ähnliche Erfahrungen gemacht?

Im Zertifikats-Tab bzw. im Log tauchte irgendwann die Meldung auf, dass Zertifikate ungültig sind. In meinem jugendlichen Leichtsinn habe ich sie mir dann zusammengesucht und installiert. Das war folgende Kette:
CN=D-TRUST Limited Basic Root CA 1 2019, O=D-Trust GmbH, C=DE // Thumbprint 08FEA56EF3E839778E28C774E7FEB84F5FE36FD6
CN=D-TRUST Limited Basic CA 1-4 2019, O=D-Trust GmbH, C=DE  // Thumbprint E9CEA94A2046BBA8210120E89F312530E27C5DD2

So weit so gut, danach war das Zertifikat grün und alles war in Ordnung.

Ich hatte in den letzten Wochen jedoch mehrere Kunden, die sich bei uns gemeldet haben, um uns mitzuteilen, dass wir unsere E-Mails an sie doch bitte nicht verschlüsseln sollen. Jedes Mal ergab die Recherche, dass der Kunde ein Zertifikat besitzt, das von D-Trust ausgestellt und bei openkeys hochgeladen wurde. Ich habe es denen dann jeweils schriftlich begründet und aufgezeigt, woran es lag. Parallel dann unserem NSP gesagt, er solle an diese Domains kein SMIME mehr nutzen.

Eine Antwort - außer "Danke, wir gehen dem nach" - bekam ich nie daher habe ich auch keine Rückmeldung, woran es lag. Aber bisher sind alle Zertifikate noch bei openkeys drin.
Mit einem Kunden habe ich auch gesprochen, bei ihm hats bei D-Trust geklingelt, er sagte sie haben die Zertifikate gekauft für etwas anders, ganz weit entfernt von E-Mail-Security.

Daher vermutete ich, dass D-Trust im Bestellprozess irgendwo eine Checkbox versteckt hat, die bei Zustimmung die Zertifikate automatisch veröffentlicht....?!

Nun wurde ich gestern jedoch stutzig, da es halt vermehrt auftrat und alle diese vorher installierte Zertifikatskette nutzten. Mittlerweile glaube ich, dass es ein Mix aus beiden ist. Die Dinger werden unerwünscht zu openkeys geladen aber sind halt ohnehin nicht für SMIME vorgesehen. Die "D-TRUST Limited Basic Root CA" wird bei der Bundesdruckerei auch nur als "Sonstiges" gelistet.

Deswegen bin ich gestern auch daher gegangen und habe sowohl diese Root- sowie Sub-CA als auch alle Zertifikate, die von ihr kommen aus dem Speicher entfernt, damit nicht weiter damit verschlüsselt wird. Nun sollte es wieder laufen, es ergibt sich aber das neue Problem, dass jede Mail an so einen Empfänger einen Zertifikats-Fehler ins Log scheibt. Gibt es hier eine saubere Lösung? Spontan fällt mir ein entweder damit klarzukommen oder die Prüfung über openkeys zu deaktivieren - wird wohl beides nicht im Sinne des Erfinders sein?

Hat jemand etwas ähnliches beobachtet oder gar die Gründe nachvollzeihen können? Gibts eine Lösung dafür?

Grüße
Lukas


RE: D-Trust Limited Basic bei openkeys - ffischer - 21.01.2022

Hallo,
ja als ich heute meine Wöchentliche Mail bekommen habe mit Zertifikatsproblemen fand ich die gleichen Zertifikate bei mir das die Root CAs nicht vorhanden waren.
Die habe ich dann auch hinzugefügt, wunderte mich nur warum die nicht dabei waren.

Aber bisher kam noch kein "warum sind die Mails verschlüsselt"

Grüße


RE: D-Trust Limited Basic bei openkeys - lukas - 07.02.2022

Moin Frank
ich bin mir da nicht sicher, ob du dir da nicht ein Eigentor mit schießt diese CA zu importieren... es wird ja einen Grund haben, warum das CA-Zert von D-Trust nicht qualifiziert ist. Ich habe bei denen mal nachgefragt und folgende eher allgemeine Antwort bekommen:

Zitat:die Zertifikate "D-Trust Limited Basic CA 1-4" verwenden ebenfalls den Standard S/MIME. Diese Zertifikate werden für unterschiedliche Anwendungen verwendet: Ver- und Entschlüsselung, qualifizierte/fortgeschrittene Signatur von Dokumenten, Authentifizierung von Anwendungen, Nutzung bei ElsterOnline.
Allerdings sind diese Basic PKI-Zertifikate nur eingeschränkt für die Signierung von E-Mails, bzw. für die Ver- und Entschlüsselung vorgesehen, da diese dann in jedem Fall beim Empfänger manuell als vertrauenswürdig behandelt werden müssen. Sollten Sie jedoch weiterhin mit unseren Zertifikaten arbeiten wollen wären Personenzertifikate der D-Trust evtl. interessant, da Sie mit den Produkten eine solche Einschränkung nicht haben würden.


Ich habe da nochmal genauer nachgehakt wie/warum die Dinger bei openkeys landen, bislang ohne Antwort.

Grüße


RE: D-Trust Limited Basic bei openkeys - ffischer - 07.02.2022

Hallo Lukas,
ja das könnte dann schon ein Eigentor werden.

also dann lieber nur die Akzeptieren die von Haus aus dabei sind.
Mal sehen was von openkeys kommt.


RE: D-Trust Limited Basic bei openkeys - StefanCink - 09.02.2022

Hallo zusammen,
wir werden die Limited Basic Zertifikate von D-Trust aus OpenKeys verbannen. Jan ist an dem Thema dran und wird hier sicherlich noch ein Update geben. Die Schmerzen MIT den Zertifikaten an Bord sind größer als erwartet, daher dieser Schritt.
Gruß Stefan


RE: D-Trust Limited Basic bei openkeys - ffischer - 09.02.2022

Hallo Jan,
alles klar. Dann wissen wir ja wie damit umzugehen ist Smile
Danke fürs Update


RE: D-Trust Limited Basic bei openkeys - JanJäschke - 14.02.2022

Guten Morgen zusammen,

die CA ist nun global in OpenKeys gesperrt.


LG
Jan


RE: D-Trust Limited Basic bei openkeys - lukas - 15.02.2022

Sehr schön, vielen Dank!