Ankündigung

Einklappen
Keine Ankündigung bisher.

Installation von fremden SSL-Zertifikaten nicht immer möglich

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Installation von fremden SSL-Zertifikaten nicht immer möglich

    Guten abend zusammen,
    letzte Woche haben wir den technischen Support beauftragt, ein Wildcard-Zertifikat 1:1 zu tauschen. Hintergrund ist, dass der Aussteller dieses zeitnah sperren wird. Daher bei unserer Zertifizierungstelle des Vertrauens ein neues Zertifikat beantragt.

    Nachdem das neue Zertifikat vorlag, habe ich die notwendigen Dateien in einem Support Ticket übermittelt. Einige Stunden später habe ich die Rückmeldung erhalten, dass das Zertifikat nicht eingespielt werden kann. Es war natürlich kein Grund angegeben. Also habe ich die Frage gestellt, aus welchem Grund dies nicht mehr möglich sein. Schließlich wurde das ursprüngliche Zertifikat auf dem selben Weg damals anstandlos eingespielt. Nach ein paar Tassen Tee und unzähligen E-Mails stellte sich heraus, dass externe Zertifikate nicht mehr eingespielt weden können, wenn diese eine Schlüssellänge von 4096 Bit aufweisen. Schuld sei das neue Zertifikatsmanagement, welches mit den neuen SSL-Zertifikaten eingeführt wurde. Muss man erst einmal glauben...

    Wir haben inzwischen zusammen mit dF eine Lösung gefunden, welche für uns temporär zufriedenstellend ist. Trotzdem muss ich den Kopf schütteln... sind wir an den Punkt wo dF Rück- statt Forschritte macht?

    Schade finde ich auch hier, dass die Kommunikation auf der Strecke geblieben ist. Warum werden Kunden welche in das oben beschriebene Schema fallen nicht rechtzeitig informiert? Denn auf Grund der Laufzeit ist es absehbar, dass dieser sich melden wird. Ich habe mir auch ehrlich gesagt nicht damit gerechnet, dass gerade die vermeidlich einfachste Baustelle das größte Problem wird. :-/


    Grüße,
    Dani
    Zuletzt geändert von Schakal; 26.08.2019, 20:51.

    #2
    Zitat von Schakal Beitrag anzeigen
    Trotzdem muss ich den Kopf schütteln... sind wir an den Punkt wo dF Rück- statt Forschritte macht?
    Ja, da kann man gern mal den Kopf schütteln. DF trifft da aber mal keine Schuld - das wurde von GoDaddy so vorgegeben. Die mangelnde Kommunikation muss DF sich allerdings vorwerfen lassen.

    Gruß
    Jan
    Two hours of trial and error can save ten minutes of manual reading.

    Kommentar


      #3
      Zitat von Enigma Beitrag anzeigen
      Die mangelnde Kommunikation muss DF sich allerdings vorwerfen lassen.
      Das ist ja das übliche Spiel was DF mit seinen Kunden spielt. Seit Jahren. Und es wurde immer Besserung versprochen. Nach Aussen scheint aber nicht viel passiert zu sein.

      @Schakal: Ähnlich wie bei dem LE-Thema kann man hier nur einen Wechsel des Anbieters empfehlen. Ich kenne es von anderen Anbietern, dass man dort (neben LE) auch Fremdzertifikate einspielen kann. Kostenlos und selber ohne den Support in Anspruch zu nehmen.
      Markus
      ---
      https://www.facebook.com/markus.weber.180410

      Kommentar


        #4
        Hallo Schakal,

        es freut uns, dass hier eine Lösung gefunden wurde. Können Sie die Ticket ID nennen? Dann können wir uns das im Detail ansehen.

        Durch Änderungen und Wechsel bei Systemen gibt es oft viele Vorteile und manchmal auch Nachteile, die man aufgrund andere Vorteile als Firma in Kauf nehmen muss. Es ist dabei nicht gesagt, dass diese für immer bestehen bleiben, sondern gerade bei breit eingesetzten Systemen gibt es Änderungen über die Zeit. Ich bin mir sicher, dass gerade bei Zertifikaten es hier zukünftig möglich sein wird, auch solche Wünsche standardmäßig und direkt zu erfüllen.

        Mit freundlichen Grüßen

        Nils Dornblut
        Blog - Facebook - Twitter
        Communitybetreiber: domainfactory GmbH
        Impressum / Pflichtangaben

        Kommentar


          #5
          Guten Abend Herr Dornblut,
          Können Sie die Ticket ID nennen? Dann können wir uns das im Detail ansehen.
          Die Nummer lautet 8194344.

          Durch Änderungen und Wechsel bei Systemen gibt es oft viele Vorteile und manchmal auch Nachteile, die man aufgrund andere Vorteile als Firma in Kauf nehmen muss
          Kann ich in diesem Fall überhaupt nicht (technisch) nachvollziehen. Die Schlüssellänge von 4096 Bit ist eigentlich keine Neuheit und wir in absehbarer Zeit Einzug erhalten. Wer sich mit den Richtlinie wie PCI DSS oder Landes/Bundesbehörden auseinandersetzen soll/darf/muss, sieht es quasi kommen. Zudem es hat mit dem vorherigen System funktioniert und das neue (eingekaufte) System kann es nicht mehr. Ich kaufe doch meinen 4 jährigen Sohn auch kein Eis, lass ich daran 2-3 schlotzen und nehm es ihm wieder einfach weg - das macht man nicht.

          Ich bin mir sicher, dass gerade bei Zertifikaten es hier zukünftig möglich sein wird, auch solche Wünsche standardmäßig und direkt zu erfüllen.
          Sehr schön. Wird sowas publiziert oder muss ich es wieder über ein Support Ticket und ein paar Tassen Tee herausfinden? Gerade der dF Blog könnte wieder mehr technischen Neuerungen/Informationen vertragen. Inzwischen dreht sich dort die Welt zu 95% nur noch um Marketing.

          Meine Frage nach der Kundenkommunikation ist durch ihre Antwort nach wie vor offen.


          Gruß,
          Daniel

          Kommentar


            #6
            Guten Abend Markus,
            Ähnlich wie bei dem LE-Thema kann man hier nur einen Wechsel des Anbieters empfehlen.
            Ähnlich, da stimme ich dir zu. LE war noch nie verfügbar für Kunden. Da sehe ich den großen Unterschied.

            Ich kenne es von anderen Anbietern, dass man dort (neben LE) auch Fremdzertifikate einspielen kann. Kostenlos und selber ohne den Support in Anspruch zu nehmen.
            Die Mehrkosten für die Installation fremder Zertifikate stören mich nicht. Wir müssen für die notwendigen und vorgeschriebenen Zertfikate bei den Anbietern für zwei Jahre vierstellige Summen auf den Tisch legen, da machen es die 50€ nicht mehr aus.

            Was mich viel mehr stört, dass man die getätige Arbeit seitens technischen Support inzwischen noch kontrollieren muss. In unseren Fall wurde a) Die Ausstellung über das Kundenmenü schon zum Problem, weil der Auftrag fehlgeschlagen ist, aber kein Grund dabei stand. Also wieder den Support konsultiert b) Es wurde vergessen beim Deaktivieren des bisherigen Zertifikat die Zertifizierungsstellen anzupassen. Sprich neues Zertifikat, alte Certificate authority sowie Trusted Root Certificate authority. Gab bei uns im Monitoring sofort einen Mismatch. Also wieder den Support angeschrieben.


            Gruß,
            Dani

            Kommentar


              #7
              Zitat von Schakal Beitrag anzeigen
              Die Nummer lautet 8194344.
              Danke! Tut uns leid, dass es da so viel hin und her gab.

              Kann ich in diesem Fall überhaupt nicht (technisch) nachvollziehen. Die Schlüssellänge von 4096 Bit ist eigentlich keine Neuheit und wir in absehbarer Zeit Einzug erhalten. Wer sich mit den Richtlinie wie PCI DSS oder Landes/Bundesbehörden auseinandersetzen soll/darf/muss, sieht es quasi kommen. Zudem es hat mit dem vorherigen System funktioniert und das neue (eingekaufte) System kann es nicht mehr. Ich kaufe doch meinen 4 jährigen Sohn auch kein Eis, lass ich daran 2-3 schlotzen und nehm es ihm wieder einfach weg - das macht man nicht.
              Das neue System wurde hier übernommen und hat leider neben Vorteilen auch Nachteile. Tut uns leid, dass wir das auf Ihr bestehendes Zertifikat nicht selbst erkannt und direkt kommuniziert haben. Es ist leider nur sehr schwer möglich da Prüfungen über alle Zertifikate zu machen. Ich bin mir sicher, dass man auch das jetzt eingesetzte System anpassen wird. Wann dass passiert, kann man nur aktuell noch nicht sagen. Hier hängt es viel von der Nachfrage ab.

              Sehr schön. Wird sowas publiziert oder muss ich es wieder über ein Support Ticket und ein paar Tassen Tee herausfinden? Gerade der dF Blog könnte wieder mehr technischen Neuerungen/Informationen vertragen. Inzwischen dreht sich dort die Welt zu 95% nur noch um Marketing.
              Wir werden hier im Forum vermehrt versuchen solche Änderungen direkt zu kommunizieren. Bei solchen generellen Umstellungen kommt es leider zu Reibungsverlusten dieser Art. Man kann leider da nur sehr schwierig jedes Details vorab klären.

              Meine Frage nach der Kundenkommunikation ist durch ihre Antwort nach wie vor offen.
              Was meinen Sie genau? Gewisse technische Details kann man leider nicht breit kommunizieren, da würde auf allen Seiten kaum einer durchsteigen und somit keinem etwas bringen. Klar, im Nachhinein kann man solche Punkte dann filtern. Aber vorab ist das einfach kaum zu sehen, weil nicht alles in dem Sinne als durchsuchbare Metadaten vorliegt oder schlicht auch nicht immer alle Details direkt bekannt sind.

              Mit freundlichen Grüßen

              Nils Dornblut
              Blog - Facebook - Twitter
              Communitybetreiber: domainfactory GmbH
              Impressum / Pflichtangaben

              Kommentar


                #8
                Danke! Tut uns leid, dass es da so viel hin und her gab.
                Das ist halb so wild. Ich habe viel Geduld, wenig Zeit (wer nicht) und einen guten spanischen Orangetee im Büro. Damit halte ich erstmal Stand. ;-)

                Tut uns leid, dass wir das auf Ihr bestehendes Zertifikat nicht selbst erkannt und direkt kommuniziert haben. Es ist leider nur sehr schwer möglich da Prüfungen über alle Zertifikate zu machen.
                Entschuldigung angenommen. Grundsätzlich sind alle Informationen im Kundenmenü über eine Datenbank oder mehrere abrufbar. Was wahrscheinlich bis dato nicht vermerkt ist, ist die Schlüssellänge bei fremden Zertifikaten. Da haben Sie natürlich recht.
                Allerdings gehe ich davon aus, dass die Technik im Vorfeld über/gerpüft hat, wie viele Kunden nach der Systemumstellung kurz/mitelfristig dem Support die Türen einrennen werden. Der technische Leiter und die Geschäftsführung werden die Entscheidung nicht in der Kaffeepause mit Streichhölzern herbeigeführt haben.

                Wann dass passiert, kann man nur aktuell noch nicht sagen. Hier hängt es viel von der Nachfrage ab.
                Wir haben sicherheitshalber das Ticket und auch inzwischen den Beitrag für die Wiedervorlage in 6 Monaten gepackt. Denn ich bin mir nicht sicher, ob a) wir in einem Jahr wieder eine Ausnahme seitens Auditor bekommen b) das System zur Zertifikatsverwaltung weiterenwickelt wurde.
                Die Nachfrage unserseits ist defintiv da. ;-) Aber lasse ich die Kommunikation im Ticket nochmals durch den Kopf gehen, würde ich fast wetten, dass wir einer der ersten Kunden (nicht mehr als 10 Stück) waren, die angeklopft haben. :-/

                Was meinen Sie genau?
                Meine Frage, warum keine Kommunikation stattgefunden hat, ist mit ihrem letzten Kommentar beantwortet. Das mir die Antwort nicht zu 110% gefällt, ist ein anderes Thema.


                Gruß,
                Dani
                Zuletzt geändert von Schakal; 27.08.2019, 23:58.

                Kommentar


                  #9
                  Hallo Schakal,

                  danke für die Rückmeldung. Wir werden mal schauen und uns hoffentlich nicht zu oft in diesem Thread wiederfinden.

                  Mit freundlichen Grüßen

                  Nils Dornblut
                  Blog - Facebook - Twitter
                  Communitybetreiber: domainfactory GmbH
                  Impressum / Pflichtangaben

                  Kommentar

                  Lädt...
                  X