Tobit abgekündigt?

  • Selbst erstellte Zertifikate mit hoher Verschlüsselung halte ich für sicherer als die Kaufzertifikate von Zertifizierungsstellen.
    Denn beim Self-Cert Zertifikat kennt außer dem Ersteller niemand den Key, wenn selbiger nicht für Datenkommunikation verwendet wird.
    Haken dabei ist nicht die Rechnerleistung, sondern der vor allem von Apple ziemlich begrenzte Verschlüsselungsgrad.


    Moin,


    ich glaub da habe ich was falsch verstanden, wenn ich ein Anforderungsdatei für ein Zertifikat erstelle bestimme ich die Attribute, auch die
    stärke (Bits). Dabei wird auf meinem System der Private Key erstellt und gespeichert. In der Anforderungsdatei stehen die Attribute auch drin, aber
    eben nicht der Private Key. Dieser Verlässt zu keinem Zeitpunkt mein System zur CA. Die CA unterschreibt die Anforderungsdatei, und beglaubigt
    somit mein Zertifikat. Ich glaube was Sie mit den Veröffentlichungen in der Fachpresse meine, ist das Umstand das CA's ohne genaues Prüfen
    NEUE Zertifikate für Domänen ausgestellt haben, und somit unberechtigte Dritte in den Besitz von Zertifikaten kamen, die Sie nicht haben dürften.
    Da Sie nicht die Besitzer/Betreiber der Domänen (bsp: google.de, apple.de). Diese Zertifikate werden dann für z.B. für Phishing Seiten genutzt, in
    dem z.b der DNS-A Eintrag für die Seite z.b apple.de auf einen Server der Kriminellen verweist, der dann um den Schein zu waren, und keinen
    Alarm im Browser auszulösen auch ein von einer CA korrekt unterschriebenes Zertifikat hat.
    Zu den selbst erstellten Zertifikaten, da diese Ohne eine CA erstellt werden können und ohnehin in jedem Browser Alarm schlagen, egal ob
    ich meinem System mitteile das ich ihm Vertraue, kann hier ein Angreifer noch einfacher eine Oben beschrieben Attacke fahren, da er nicht
    mal einer CA etwas vorspielen muss. Er erstellt sich das Zertifikat einfach selbst ;)

    @NoHopeNoFear
    "...aufgebrochen bekommt das nur ein Geheimdienst..."
    Das ist schon eine unnötige Schwachstelle zu viel, wenn es sich um einen Dienst außerhalb der EU handelt.

    Wie auch schon mehrfach in der Fachpresse zu lesen war, haben auch Große und kleine Hersteller mit Ihren System Problem
    die dann zu nicht Sicheren VPN Servern führen (Cisco, Juniper, Fortigate, etc.)

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

  • Da liegt ein Irrtum Ihrerseits vor.
    WLAN ist bei mir normalerweise ausgeschaltet. Ich nutze unterwegs LTE mit einem Datenvolumen von 3 GB pro Monat via Smartphone und Notebook.

    Wenn ich das WLAN-System eines Kunden hinsichtlich auffindbarer IP-Adressen prüfen muss, dann ist das VPN stets bewusst abgeschaltet.

    Irrtum? Welcher?

    Ein- und Ausschalten Das machen die wenigstens. Ist auch nicht notwendig. Ich habe 8GB im Monat LTE und verstehe nicht was das mit dem VPN im WLAN zu tun haben soll??

    So nee Prüfung machen doch Deine Kunden nicht? Es geht doch um die Sicherheit der Kunden.

    david (Sitecare) :thumbup: - seit FaxWare 3 dabei ;(

  • bei der aussage dass selbst erstelle zertifikate sicherer sein sollen als signierte stehen mir die haare zu berge. demnach ist jegliche kommunikation im internet nicht vertrauenswürdig und VPNs dürften nur auf PSKs basieren... junge junge.

  • bei der aussage dass selbst erstelle zertifikate sicherer sein sollen als signierte stehen mir die haare zu berge. demnach ist jegliche kommunikation im internet nicht vertrauenswürdig und VPNs dürften nur auf PSKs basieren... junge junge.

    ich finde die Begründung interessant...

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

  • Für alle die mal sehen wollen wie man mit David eigenen Boardmitteln eine Zertifikatsanforderungsdatei erstellen kann,
    um mit dieser dann bei Symantec, Comondo, GlobeSSL ein Zertifikat zu bestellen, habe ich ein Video erstellt.

    Externer Inhalt youtu.be
    Inhalte von externen Seiten werden ohne deine Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklärst du dich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

  • hast du es hinbekommen ein unterschriebenes zertifikat für den postman zu verwenden? wir sind daran gescheitert da die kette nie korrekt übermittelt wurde. support von tobit war, wie üblich, auch nicht besonders hilfreich.

  • Ja dazu wird ja die TXCERT und RXCERT.PEM erstellt. Welche den gleichen Inhalt hat wie die wbcert.pem.
    Inhalt setzt sich wie folgt zusammen: Server Zertifikat, Intermediate (Zwischen Cert), Private Key.

    In der Konfig des PostMan ist dann der Hacken bei Übermittlung der Kette, und das erzwingen von TLS zu setzten.
    Allerdings rufe ich die eMail vom einem POP3 Server ab, der Postman wird nur zum Versand benutzt.

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

  • haben wir so gemacht, hat nie funktioniert... is halt die leidige thematik mit diversen versischerungen die nur per TLS kommunizieren wollen. in dem speziellen fall wurde das dann mit einer reddoxx gelöst.

  • der Postman hat sich auch mit "EHLO <CN aus dem Certifikat>" beim den Servern gemeldet?
    Wenn der DNS Name nicht passt, passt das Cert nicht und wird nicht akzeptiert.

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

  • Gibt's eigentlich einen Livestrem im TSPN-Bereich oder etwas in der Richtung? Das stünde einem Hightech-Unternehmen wie Tobit doch gut zu Gesicht, oder? :whistling::saint:

    sowas würd ich fast erwarten.. die sind ja quasi wie Apple und Co ;) Wenn jemand beim LiveEvent ist kann er ja ein bisschen berichten hier im Forum. Das wäre grandios ;)

  • Moin.
    Mir hatte ein Tobit-Supporter mal gesagt, dass der Key direkt nach dem eigenen Zertifikat kommen soll und danach erst die Zertifikatkette.
    Irgendeiner in der Bude sollte das doch eigentlich wissen müssen und das mal vernünftig dokumentieren. Mir wurde auch gesagt, dass man das Root-Zertifikat mit aufnehmen soll. Dabei frage ich mich allerdings, in wie weit die Zertifikatkette überhaupt Sinn macht, wenn man sie komplett mit liefert.

    Den Vogel abgeschlossen hat da die zentrale IT eines meiner Kunden. Um auf den zentralen Exchange-Server in Italien zugreifen zu können musste man zwei Zertifikate lokal installieren. Eines davon unter "vertrauenswürdige Stammzertifizierungsstellen". :eek:


    Jörg

  • Also ich nutze die Zusammensetzung so weit geraumer Zeit, Checks wie

    oder auch

    meckern da nix an.

    Ich hab auch mal die Reihenfolge so aufgebaut wie das TLSCert.exe Tool es erstellt
    wenn man in Self Sign Cert erstellt. Ändert nix....

    https://ihr-it.support
    Bietet seit zwanzig Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu allen Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

    Einmal editiert, zuletzt von stylistics (23. März 2017 um 22:13)

  • So heute ist der Tag an dem Tobit Dekade 3 "einläutet"!
    jedoch bis 16Uhr ist es noch eine weile hin :D

    Ich bin auf eure Berichte gespannt. Sofern jemand es schafft Live zu berichten, wäre ein neuer Foren Thread sicherlich hilfreich. Vielleicht auch so eine art Live Chat.


    Lasst ihr alle direkt auf die WebBox von Außen zugreifen?
    Nichts mehr dazwischen ?

    Tobit FX12 auf W2016 an VMWare vSphere 8 Essentials,
    ActiveSync über Sophos XGS / Reverse Proxy(WAF) - NoSpamProxy Mail Security

  • Lasst ihr alle direkt auf die WebBox von Außen zugreifen?
    Nichts mehr dazwischen ?

    Wie denn dazwischen?
    Also bei mir ist das so dass der Ordner freigegbene ist für Außen(Remote) und somit können am Smartphone und Notebook darauf zugegriffen werden.
    Feste IP dank IP Anschluss und Passwort.

  • Ordner Freigegeben?
    Wir haben die Webbox, den David Client Port und IMAP nach außen hin offen (SMTP nicht). Ohne viel Dazwischen.

    Schaue mir das heute in Ahaus live mal an. Bin schon sehr gespannt. Es muss schon einiges Passieren das David mal wieder in Schwung kommt...

  • @lycra
    also Firewall ist klar aber da Port 443 direkt auf die WebBox?
    keinen Reverse Proxy dazwischen der die Abfragen filtern kann?

    Tobit FX12 auf W2016 an VMWare vSphere 8 Essentials,
    ActiveSync über Sophos XGS / Reverse Proxy(WAF) - NoSpamProxy Mail Security

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!