Tobit abgekündigt?

Zitat von Arno

Selbst erstellte Zertifikate mit hoher Verschlüsselung halte ich für sicherer als die Kaufzertifikate von Zertifizierungsstellen.
Denn beim Self-Cert Zertifikat kennt außer dem Ersteller niemand den Key, wenn selbiger nicht für Datenkommunikation verwendet wird.
Haken dabei ist nicht die Rechnerleistung, sondern der vor allem von Apple ziemlich begrenzte Verschlüsselungsgrad.

Moin,

ich glaub da habe ich was falsch verstanden, wenn ich ein Anforderungsdatei für ein Zertifikat erstelle bestimme ich die Attribute, auch die
stärke (Bits). Dabei wird auf meinem System der Private Key erstellt und gespeichert. In der Anforderungsdatei stehen die Attribute auch drin, aber
eben nicht der Private Key. Dieser Verlässt zu keinem Zeitpunkt mein System zur CA. Die CA unterschreibt die Anforderungsdatei, und beglaubigt
somit mein Zertifikat. Ich glaube was Sie mit den Veröffentlichungen in der Fachpresse meine, ist das Umstand das CA's ohne genaues Prüfen
NEUE Zertifikate für Domänen ausgestellt haben, und somit unberechtigte Dritte in den Besitz von Zertifikaten kamen, die Sie nicht haben dürften.
Da Sie nicht die Besitzer/Betreiber der Domänen (bsp: google.de, apple.de). Diese Zertifikate werden dann für z.B. für Phishing Seiten genutzt, in
dem z.b der DNS-A Eintrag für die Seite z.b apple.de auf einen Server der Kriminellen verweist, der dann um den Schein zu waren, und keinen
Alarm im Browser auszulösen auch ein von einer CA korrekt unterschriebenes Zertifikat hat.
Zu den selbst erstellten Zertifikaten, da diese Ohne eine CA erstellt werden können und ohnehin in jedem Browser Alarm schlagen, egal ob
ich meinem System mitteile das ich ihm Vertraue, kann hier ein Angreifer noch einfacher eine Oben beschrieben Attacke fahren, da er nicht
mal einer CA etwas vorspielen muss. Er erstellt sich das Zertifikat einfach selbst

Zitat von Arno

@NoHopeNoFear
"...aufgebrochen bekommt das nur ein Geheimdienst..."
Das ist schon eine unnötige Schwachstelle zu viel, wenn es sich um einen Dienst außerhalb der EU handelt.

Wie auch schon mehrfach in der Fachpresse zu lesen war, haben auch Große und kleine Hersteller mit Ihren System Problem
die dann zu nicht Sicheren VPN Servern führen (Cisco, Juniper, Fortigate, etc.)

Zitat von Arno

Da liegt ein Irrtum Ihrerseits vor.
WLAN ist bei mir normalerweise ausgeschaltet. Ich nutze unterwegs LTE mit einem Datenvolumen von 3 GB pro Monat via Smartphone und Notebook.

Wenn ich das WLAN-System eines Kunden hinsichtlich auffindbarer IP-Adressen prüfen muss, dann ist das VPN stets bewusst abgeschaltet.

Irrtum? Welcher?

Ein- und Ausschalten Das machen die wenigstens. Ist auch nicht notwendig. Ich habe 8GB im Monat LTE und verstehe nicht was das mit dem VPN im WLAN zu tun haben soll??

So nee Prüfung machen doch Deine Kunden nicht? Es geht doch um die Sicherheit der Kunden.

bei der aussage dass selbst erstelle zertifikate sicherer sein sollen als signierte stehen mir die haare zu berge. demnach ist jegliche kommunikation im internet nicht vertrauenswürdig und VPNs dürften nur auf PSKs basieren... junge junge.

Zitat von NoHopeNoFear

bei der aussage dass selbst erstelle zertifikate sicherer sein sollen als signierte stehen mir die haare zu berge. demnach ist jegliche kommunikation im internet nicht vertrauenswürdig und VPNs dürften nur auf PSKs basieren... junge junge.

ich finde die Begründung interessant...

ja, allerdings....

Noch 1 Tag ich halts kaum aus

Zitat von senseye

Noch 1 Tag ich halts kaum aus

Gibt's eigentlich einen Livestrem im TSPN-Bereich oder etwas in der Richtung? Das stünde einem Hightech-Unternehmen wie Tobit doch gut zu Gesicht, oder?

Für alle die mal sehen wollen wie man mit David eigenen Boardmitteln eine Zertifikatsanforderungsdatei erstellen kann,
um mit dieser dann bei Symantec, Comondo, GlobeSSL ein Zertifikat zu bestellen, habe ich ein Video erstellt.

hast du es hinbekommen ein unterschriebenes zertifikat für den postman zu verwenden? wir sind daran gescheitert da die kette nie korrekt übermittelt wurde. support von tobit war, wie üblich, auch nicht besonders hilfreich.

Ja dazu wird ja die TXCERT und RXCERT.PEM erstellt. Welche den gleichen Inhalt hat wie die wbcert.pem.
Inhalt setzt sich wie folgt zusammen: Server Zertifikat, Intermediate (Zwischen Cert), Private Key.

In der Konfig des PostMan ist dann der Hacken bei Übermittlung der Kette, und das erzwingen von TLS zu setzten.
Allerdings rufe ich die eMail vom einem POP3 Server ab, der Postman wird nur zum Versand benutzt.

haben wir so gemacht, hat nie funktioniert... is halt die leidige thematik mit diversen versischerungen die nur per TLS kommunizieren wollen. in dem speziellen fall wurde das dann mit einer reddoxx gelöst.

der Postman hat sich auch mit "EHLO <CN aus dem Certifikat>" beim den Servern gemeldet?
Wenn der DNS Name nicht passt, passt das Cert nicht und wird nicht akzeptiert.

Zitat von nordtech

Gibt's eigentlich einen Livestrem im TSPN-Bereich oder etwas in der Richtung? Das stünde einem Hightech-Unternehmen wie Tobit doch gut zu Gesicht, oder?

sowas würd ich fast erwarten.. die sind ja quasi wie Apple und Co Wenn jemand beim LiveEvent ist kann er ja ein bisschen berichten hier im Forum. Das wäre grandios

Moin.
Mir hatte ein Tobit-Supporter mal gesagt, dass der Key direkt nach dem eigenen Zertifikat kommen soll und danach erst die Zertifikatkette.
Irgendeiner in der Bude sollte das doch eigentlich wissen müssen und das mal vernünftig dokumentieren. Mir wurde auch gesagt, dass man das Root-Zertifikat mit aufnehmen soll. Dabei frage ich mich allerdings, in wie weit die Zertifikatkette überhaupt Sinn macht, wenn man sie komplett mit liefert.

Den Vogel abgeschlossen hat da die zentrale IT eines meiner Kunden. Um auf den zentralen Exchange-Server in Italien zugreifen zu können musste man zwei Zertifikate lokal installieren. Eines davon unter "vertrauenswürdige Stammzertifizierungsstellen". :eek:

Jörg

Also ich nutze die Zusammensetzung so weit geraumer Zeit, Checks wie

oder auch

meckern da nix an.

Ich hab auch mal die Reihenfolge so aufgebaut wie das TLSCert.exe Tool es erstellt
wenn man in Self Sign Cert erstellt. Ändert nix....

So heute ist der Tag an dem Tobit Dekade 3 "einläutet"!
jedoch bis 16Uhr ist es noch eine weile hin

Ich bin auf eure Berichte gespannt. Sofern jemand es schafft Live zu berichten, wäre ein neuer Foren Thread sicherlich hilfreich. Vielleicht auch so eine art Live Chat.

Lasst ihr alle direkt auf die WebBox von Außen zugreifen?
Nichts mehr dazwischen ?

Zitat von BlackShadow

Lasst ihr alle direkt auf die WebBox von Außen zugreifen?
Nichts mehr dazwischen ?

Wie denn dazwischen?
Also bei mir ist das so dass der Ordner freigegbene ist für Außen(Remote) und somit können am Smartphone und Notebook darauf zugegriffen werden.
Feste IP dank IP Anschluss und Passwort.

Ordner Freigegeben?
Wir haben die Webbox, den David Client Port und IMAP nach außen hin offen (SMTP nicht). Ohne viel Dazwischen.

Schaue mir das heute in Ahaus live mal an. Bin schon sehr gespannt. Es muss schon einiges Passieren das David mal wieder in Schwung kommt...

@lycra
also Firewall ist klar aber da Port 443 direkt auf die WebBox?
keinen Reverse Proxy dazwischen der die Abfragen filtern kann?

Zitat von stylistics

der Postman hat sich auch mit "EHLO <CN aus dem Certifikat>" beim den Servern gemeldet?
Wenn der DNS Name nicht passt, passt das Cert nicht und wird nicht akzeptiert.

jo, alles eingerichtet wie immer bzw. wie es sein sollte. haben solche probleme auch nur mit david gehabt.