Ankündigung

Einklappen
Keine Ankündigung bisher.

Installation von fremden SSL-Zertifikaten nicht immer möglich

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Installation von fremden SSL-Zertifikaten nicht immer möglich

    Guten abend zusammen,
    letzte Woche haben wir den technischen Support beauftragt, ein Wildcard-Zertifikat 1:1 zu tauschen. Hintergrund ist, dass der Aussteller dieses zeitnah sperren wird. Daher bei unserer Zertifizierungstelle des Vertrauens ein neues Zertifikat beantragt.

    Nachdem das neue Zertifikat vorlag, habe ich die notwendigen Dateien in einem Support Ticket übermittelt. Einige Stunden später habe ich die Rückmeldung erhalten, dass das Zertifikat nicht eingespielt werden kann. Es war natürlich kein Grund angegeben. Also habe ich die Frage gestellt, aus welchem Grund dies nicht mehr möglich sein. Schließlich wurde das ursprüngliche Zertifikat auf dem selben Weg damals anstandlos eingespielt. Nach ein paar Tassen Tee und unzähligen E-Mails stellte sich heraus, dass externe Zertifikate nicht mehr eingespielt weden können, wenn diese eine Schlüssellänge von 4096 Bit aufweisen. Schuld sei das neue Zertifikatsmanagement, welches mit den neuen SSL-Zertifikaten eingeführt wurde. Muss man erst einmal glauben...

    Wir haben inzwischen zusammen mit dF eine Lösung gefunden, welche für uns temporär zufriedenstellend ist. Trotzdem muss ich den Kopf schütteln... sind wir an den Punkt wo dF Rück- statt Forschritte macht?

    Schade finde ich auch hier, dass die Kommunikation auf der Strecke geblieben ist. Warum werden Kunden welche in das oben beschriebene Schema fallen nicht rechtzeitig informiert? Denn auf Grund der Laufzeit ist es absehbar, dass dieser sich melden wird. Ich habe mir auch ehrlich gesagt nicht damit gerechnet, dass gerade die vermeidlich einfachste Baustelle das größte Problem wird. :-/


    Grüße,
    Dani
    Zuletzt geändert von Schakal; 26.08.2019, 20:51.

    #2
    Zitat von Schakal Beitrag anzeigen
    Trotzdem muss ich den Kopf schütteln... sind wir an den Punkt wo dF Rück- statt Forschritte macht?
    Ja, da kann man gern mal den Kopf schütteln. DF trifft da aber mal keine Schuld - das wurde von GoDaddy so vorgegeben. Die mangelnde Kommunikation muss DF sich allerdings vorwerfen lassen.

    Gruß
    Jan
    Two hours of trial and error can save ten minutes of manual reading.

    Kommentar


      #3
      Zitat von Enigma Beitrag anzeigen
      Die mangelnde Kommunikation muss DF sich allerdings vorwerfen lassen.
      Das ist ja das übliche Spiel was DF mit seinen Kunden spielt. Seit Jahren. Und es wurde immer Besserung versprochen. Nach Aussen scheint aber nicht viel passiert zu sein.

      @Schakal: Ähnlich wie bei dem LE-Thema kann man hier nur einen Wechsel des Anbieters empfehlen. Ich kenne es von anderen Anbietern, dass man dort (neben LE) auch Fremdzertifikate einspielen kann. Kostenlos und selber ohne den Support in Anspruch zu nehmen.
      Markus
      ---
      https://www.facebook.com/markus.weber.180410

      Kommentar


        #4
        Hallo Schakal,

        es freut uns, dass hier eine Lösung gefunden wurde. Können Sie die Ticket ID nennen? Dann können wir uns das im Detail ansehen.

        Durch Änderungen und Wechsel bei Systemen gibt es oft viele Vorteile und manchmal auch Nachteile, die man aufgrund andere Vorteile als Firma in Kauf nehmen muss. Es ist dabei nicht gesagt, dass diese für immer bestehen bleiben, sondern gerade bei breit eingesetzten Systemen gibt es Änderungen über die Zeit. Ich bin mir sicher, dass gerade bei Zertifikaten es hier zukünftig möglich sein wird, auch solche Wünsche standardmäßig und direkt zu erfüllen.

        Mit freundlichen Grüßen

        Nils Dornblut
        Blog - Facebook - Twitter
        Communitybetreiber: domainfactory GmbH
        Impressum / Pflichtangaben

        Kommentar


          #5
          Guten Abend Herr Dornblut,
          Können Sie die Ticket ID nennen? Dann können wir uns das im Detail ansehen.
          Die Nummer lautet 8194344.

          Durch Änderungen und Wechsel bei Systemen gibt es oft viele Vorteile und manchmal auch Nachteile, die man aufgrund andere Vorteile als Firma in Kauf nehmen muss
          Kann ich in diesem Fall überhaupt nicht (technisch) nachvollziehen. Die Schlüssellänge von 4096 Bit ist eigentlich keine Neuheit und wir in absehbarer Zeit Einzug erhalten. Wer sich mit den Richtlinie wie PCI DSS oder Landes/Bundesbehörden auseinandersetzen soll/darf/muss, sieht es quasi kommen. Zudem es hat mit dem vorherigen System funktioniert und das neue (eingekaufte) System kann es nicht mehr. Ich kaufe doch meinen 4 jährigen Sohn auch kein Eis, lass ich daran 2-3 schlotzen und nehm es ihm wieder einfach weg - das macht man nicht.

          Ich bin mir sicher, dass gerade bei Zertifikaten es hier zukünftig möglich sein wird, auch solche Wünsche standardmäßig und direkt zu erfüllen.
          Sehr schön. Wird sowas publiziert oder muss ich es wieder über ein Support Ticket und ein paar Tassen Tee herausfinden? Gerade der dF Blog könnte wieder mehr technischen Neuerungen/Informationen vertragen. Inzwischen dreht sich dort die Welt zu 95% nur noch um Marketing.

          Meine Frage nach der Kundenkommunikation ist durch ihre Antwort nach wie vor offen.


          Gruß,
          Daniel

          Kommentar


            #6
            Guten Abend Markus,
            Ähnlich wie bei dem LE-Thema kann man hier nur einen Wechsel des Anbieters empfehlen.
            Ähnlich, da stimme ich dir zu. LE war noch nie verfügbar für Kunden. Da sehe ich den großen Unterschied.

            Ich kenne es von anderen Anbietern, dass man dort (neben LE) auch Fremdzertifikate einspielen kann. Kostenlos und selber ohne den Support in Anspruch zu nehmen.
            Die Mehrkosten für die Installation fremder Zertifikate stören mich nicht. Wir müssen für die notwendigen und vorgeschriebenen Zertfikate bei den Anbietern für zwei Jahre vierstellige Summen auf den Tisch legen, da machen es die 50€ nicht mehr aus.

            Was mich viel mehr stört, dass man die getätige Arbeit seitens technischen Support inzwischen noch kontrollieren muss. In unseren Fall wurde a) Die Ausstellung über das Kundenmenü schon zum Problem, weil der Auftrag fehlgeschlagen ist, aber kein Grund dabei stand. Also wieder den Support konsultiert b) Es wurde vergessen beim Deaktivieren des bisherigen Zertifikat die Zertifizierungsstellen anzupassen. Sprich neues Zertifikat, alte Certificate authority sowie Trusted Root Certificate authority. Gab bei uns im Monitoring sofort einen Mismatch. Also wieder den Support angeschrieben.


            Gruß,
            Dani

            Kommentar


              #7
              Zitat von Schakal Beitrag anzeigen
              Die Nummer lautet 8194344.
              Danke! Tut uns leid, dass es da so viel hin und her gab.

              Kann ich in diesem Fall überhaupt nicht (technisch) nachvollziehen. Die Schlüssellänge von 4096 Bit ist eigentlich keine Neuheit und wir in absehbarer Zeit Einzug erhalten. Wer sich mit den Richtlinie wie PCI DSS oder Landes/Bundesbehörden auseinandersetzen soll/darf/muss, sieht es quasi kommen. Zudem es hat mit dem vorherigen System funktioniert und das neue (eingekaufte) System kann es nicht mehr. Ich kaufe doch meinen 4 jährigen Sohn auch kein Eis, lass ich daran 2-3 schlotzen und nehm es ihm wieder einfach weg - das macht man nicht.
              Das neue System wurde hier übernommen und hat leider neben Vorteilen auch Nachteile. Tut uns leid, dass wir das auf Ihr bestehendes Zertifikat nicht selbst erkannt und direkt kommuniziert haben. Es ist leider nur sehr schwer möglich da Prüfungen über alle Zertifikate zu machen. Ich bin mir sicher, dass man auch das jetzt eingesetzte System anpassen wird. Wann dass passiert, kann man nur aktuell noch nicht sagen. Hier hängt es viel von der Nachfrage ab.

              Sehr schön. Wird sowas publiziert oder muss ich es wieder über ein Support Ticket und ein paar Tassen Tee herausfinden? Gerade der dF Blog könnte wieder mehr technischen Neuerungen/Informationen vertragen. Inzwischen dreht sich dort die Welt zu 95% nur noch um Marketing.
              Wir werden hier im Forum vermehrt versuchen solche Änderungen direkt zu kommunizieren. Bei solchen generellen Umstellungen kommt es leider zu Reibungsverlusten dieser Art. Man kann leider da nur sehr schwierig jedes Details vorab klären.

              Meine Frage nach der Kundenkommunikation ist durch ihre Antwort nach wie vor offen.
              Was meinen Sie genau? Gewisse technische Details kann man leider nicht breit kommunizieren, da würde auf allen Seiten kaum einer durchsteigen und somit keinem etwas bringen. Klar, im Nachhinein kann man solche Punkte dann filtern. Aber vorab ist das einfach kaum zu sehen, weil nicht alles in dem Sinne als durchsuchbare Metadaten vorliegt oder schlicht auch nicht immer alle Details direkt bekannt sind.

              Mit freundlichen Grüßen

              Nils Dornblut
              Blog - Facebook - Twitter
              Communitybetreiber: domainfactory GmbH
              Impressum / Pflichtangaben

              Kommentar


                #8
                Danke! Tut uns leid, dass es da so viel hin und her gab.
                Das ist halb so wild. Ich habe viel Geduld, wenig Zeit (wer nicht) und einen guten spanischen Orangetee im Büro. Damit halte ich erstmal Stand. ;-)

                Tut uns leid, dass wir das auf Ihr bestehendes Zertifikat nicht selbst erkannt und direkt kommuniziert haben. Es ist leider nur sehr schwer möglich da Prüfungen über alle Zertifikate zu machen.
                Entschuldigung angenommen. Grundsätzlich sind alle Informationen im Kundenmenü über eine Datenbank oder mehrere abrufbar. Was wahrscheinlich bis dato nicht vermerkt ist, ist die Schlüssellänge bei fremden Zertifikaten. Da haben Sie natürlich recht.
                Allerdings gehe ich davon aus, dass die Technik im Vorfeld über/gerpüft hat, wie viele Kunden nach der Systemumstellung kurz/mitelfristig dem Support die Türen einrennen werden. Der technische Leiter und die Geschäftsführung werden die Entscheidung nicht in der Kaffeepause mit Streichhölzern herbeigeführt haben.

                Wann dass passiert, kann man nur aktuell noch nicht sagen. Hier hängt es viel von der Nachfrage ab.
                Wir haben sicherheitshalber das Ticket und auch inzwischen den Beitrag für die Wiedervorlage in 6 Monaten gepackt. Denn ich bin mir nicht sicher, ob a) wir in einem Jahr wieder eine Ausnahme seitens Auditor bekommen b) das System zur Zertifikatsverwaltung weiterenwickelt wurde.
                Die Nachfrage unserseits ist defintiv da. ;-) Aber lasse ich die Kommunikation im Ticket nochmals durch den Kopf gehen, würde ich fast wetten, dass wir einer der ersten Kunden (nicht mehr als 10 Stück) waren, die angeklopft haben. :-/

                Was meinen Sie genau?
                Meine Frage, warum keine Kommunikation stattgefunden hat, ist mit ihrem letzten Kommentar beantwortet. Das mir die Antwort nicht zu 110% gefällt, ist ein anderes Thema.


                Gruß,
                Dani
                Zuletzt geändert von Schakal; 27.08.2019, 23:58.

                Kommentar


                  #9
                  Hallo Schakal,

                  danke für die Rückmeldung. Wir werden mal schauen und uns hoffentlich nicht zu oft in diesem Thread wiederfinden.

                  Mit freundlichen Grüßen

                  Nils Dornblut
                  Blog - Facebook - Twitter
                  Communitybetreiber: domainfactory GmbH
                  Impressum / Pflichtangaben

                  Kommentar


                    #10
                    Guten Abend,
                    die 6 Monate sind zwar noch nicht um, aber fünfe sind es am Sonntag. ;-)
                    Gibt es diesbezüglich Neuigkeiten aus dem Maschinenraum?


                    Grüße

                    Kommentar


                      #11
                      Hallo Schakal,

                      Sie meinen in Bezug auf die nicht mögliche Schlüssellänge von 4096 Bit? Dann frage ich dazu einmal nach.

                      Mit freundlichen Grüßen

                      Nils Dornblut
                      Blog - Facebook - Twitter
                      Communitybetreiber: domainfactory GmbH
                      Impressum / Pflichtangaben

                      Kommentar


                        #12
                        Zitat von Nils Dornblut Beitrag anzeigen
                        Sie meinen in Bezug auf die nicht mögliche Schlüssellänge von 4096 Bit? Dann frage ich dazu einmal nach.
                        Jap.

                        P.S. Ich nehm diese Woche nur positive Nachrichten entgegen. ;-)
                        Zuletzt geändert von Schakal; 21.01.2020, 22:26.

                        Kommentar


                          #13
                          Halo Schakal,

                          es gibt leider keine Neuigkeiten dazu und es wird weiterhin von uns nur eine Schlüssellänge von 2048 Bit unterstützt. Tut uns sehr leid.

                          Mit freundlichen Grüßen

                          Nils Dornblut
                          Blog - Facebook - Twitter
                          Communitybetreiber: domainfactory GmbH
                          Impressum / Pflichtangaben

                          Kommentar


                            #14
                            Guten Abend Herr Dornblut,
                            das Thema feiert in knapp 4 Monaten sein ein Jähriges. Bitte bringen Sie bis spätestens Mitte Mai in Erfahrung, ob sich bezüglich der Schlüssellänge von 4096 Bit etwas ändern wird.
                            Falls dem nämlich nicht so ist, muss ich in der bleibenden Zeit einen Umzug planen und IT-Dienstleister/Agenturen beauftragen. Die haben bekanntlich entsprechende Vorlaufzeiten.


                            Grüße
                            Zuletzt geändert von Schakal; 22.04.2020, 22:23.

                            Kommentar


                              #15
                              Zitat von Schakal Beitrag anzeigen
                              Guten Abend Herr Dornblut,
                              das Thema feiert in knapp 4 Monaten sein ein Jähriges. Bitte bringen Sie bis spätestens Mitte Mai in Erfahrung, ob sich bezüglich der Schlüssellänge von 4096 Bit etwas ändern wird.
                              Falls dem nämlich nicht so ist, muss ich in der bleibenden Zeit einen Umzug planen und IT-Dienstleister/Agenturen beauftragen. Die haben bekanntlich entsprechende Vorlaufzeiten.
                              Ich frage hier intern gerne noch einmal nach, Änderungen sind mir bisher noch nicht bekannt.

                              Mit freundlichen Grüßen

                              Nils Dornblut

                              Blog - Facebook - Twitter
                              Communitybetreiber: domainfactory GmbH
                              Impressum / Pflichtangaben

                              Kommentar

                              Lädt...
                              X