HOT UPDATE

SUNBURST-Hack

SolarWinds widerruft Code-Signing-Zertifikat

SolarWinds wird am 08. März 2021 das digitale Code-Signing-Zertifikat widerrufen, welches bei dem Angriff kompromittiert wurde, um Schadsoftware in die Solarwinds-Programme einzuschleusen. Betroffene Solarwinds-Kunden, die mit dem zu widerrufenden Zertifikat signierte Produktversionen verwenden, haben für die Gewährleistung von Sicherheit und Leistung der SolarWinds-Produkte ab sofort Zugriff auf Software-Builds, die mit dem neuen Zertifikat signiert sind.


Betroffene Produkte außerhalb der Orion-Plattform sind:

  • Database
    • Database Performance Analyzer (DPA)
  • Security
    • Security Event Manager (SEM)
    • Access Rights Manager (RAM)
    • Patch Manager
  • Paid Tools
    • Kiwi Cat Tools
    • Kiwi Syslog Server
    • Serv-U
    • ipMonitor
    • Mobile Admin
    • Dameware Remote Support
    • Dameware Mini Remote Control
    • Engineer´s Tollset

Außerdem steht ab sofort die neue Orion-Plattform Version 2019.4.2 und 2019.2 zum Download bereit.
Den genauen Inhalt dieser Mitteilung finden Sie hier.
Weitere Informationen zur Cyberattacke auf SolarWinds finden Sie in unserem Blogbeitrag.


GlobalSign Wartungen verschoben

Die Wartungsarbeiten bei GlobalSign wurden verschoben

Die Wartungsarbeiten bei GlobalSign wurden auf die Woche vom 15. Februar bis 22. Februar 2021 verschoben.

GlobalSign hat nun bekannt gegeben, dass die Migration des Datacenters, die Wartungsarbeiten zur Folge hat, verschoben wurde. Demzufolge wird die Einschränkung die gesamte Woche vom 15. Februar bis 22. Februar 2021 betreffen. Die Hauptwartungsarbeiten werden dabei am 21. Februar 2021 erfolgen. Weiterhin ist GlobalSign bemüht, die Serviceunterbrechungen so gering wie möglich zu halten.

Bei Fragen oder Schwierigkeiten können Sie sich jederzeit an unseren Support unter +49 661 480 276 10 wenden.


07. Februar 2021 | DigiCert Wartungen

Bei DigiCert ist mit Ausfallzeiten zu rechnen

DigiCert wird am 07. Februar 2021 zwischen 06:00 und 08:00 Uhr morgens planmäßige Wartungen vornehmen. Innerhalb dieses Zeitraums wird es zu Ausfällen von mindestens 60 Minuten, gegebenenfalls sogar zwei Stunden kommen. 

Was geschieht während der Wartungsarbeiten?
Während der Wartung wird es nicht möglich sein, sich in Portalen von DigiCert anzumelden. Die Nutzung der DigiCert-APIs wird ebenfalls nicht möglich sein. Dementsprechend sind Zertifikatsbestellungen, -erneuerungen und andere Funktionen zur Zertifikatsverwaltung nicht möglich – dies betrifft sowohl die PSW-Konsole wie auch Portale und APIs von DigiCert. 

Betroffene Systeme im Überblick:

  • CertCentral 
  • Cert-Portal 
  • Zertifikatsausstellungsdienst 
  • Simple Certificate Enrollment Protocol (SCEP)
  • Discovery 
  • ACME
  • ACME-Agent-Automatisierung
  • Jegliche DigiCert-APIs
  • Vollständige Website-Sicherheit (CWS)
  • Managed PKI für SSL (MSSL) 
  • QuoVadis TrustLink


Uneingeschränkt verfügbar bleiben:

  • PKI-Plattform 7 / PKI-Plattform 8
  • DigiCert ONE Manager


Wenn Sie in dem oben genannten Zeitraum Bestellungen vornehmen, kann es sein, dass diese erneut ausgeführt werden müssen.

Unsere Empfehlung: 
Planen Sie wichtige Zertifikatsbestellungen und -Aufgaben bitte dementsprechend vorher ein. Wenn Sie diese einige Tage im Voraus ausführen, sollten keine Probleme und Verzögerungen auftreten.
Alle Portale und Services sollten nach der Wartung wieder wie gewohnt verfügbar sein.

Bei Fragen können Sie sich jederzeit an unseren Support unter +49 661 480 276 10 wenden.


SwissSign: Korrekte Zertifikatsbeantragung beachten

Für SwissSign Zertifikatsbestellungen ist künftig einiges zu beachten.

Aufgrund neuer Compliance-Anforderungen können SwissSign-Zertifikate nur noch bei korrekter Beantragung ausgestellt werden. Da bei falscher Angabe von Informationen eine zeitverzögerte Ausstellung zu erwarten ist, bitten wir Sie, die von Ihnen zur Beantragung angegebenen Informationen doppelt zu prüfen. Erfahrungsgemäß ist das Namensfeld (auch „Common Name“) oft fehlerbehaftet. Wir möchten Ihnen im Folgenden eine kurze Anleitung bieten, um die Beantragung zu vereinfachen.

Personal Gold ID (S/MIME):
Tragen Sie im Feld „Common Name“ bitte den exakten Namen der Person ein, für die das Zertifikat ausgestellt wird (Bsp.: Max Mustermann). Verwenden Sie keine Zusätze wie Titel, Ziffern oder Zeichen. Pseudonyme sind möglich, wenn diese durch das Präfix „pseudo:“ kenntlich gemacht werden.

Personal Silver ID (S/MIME):
Bitte verwenden Sie im Feld „Common Name“ die E-Mail-Adresse, für die das Zertifikat ausgestellt werden. Bitte geben Sie in dem Feld keine zusätzlichen Informationen an. Als einzige Ausnahme darf das Feld die partnerspezifischen und von SwissSign konfigurierten Strings enthalten wie z. B. „Secure Mail: Gateway Certificate“.

Ab 18. Januar 2021 wird der Bestellprozess entsprechend angepasst und Zertifikats-Anträge mit falschem Inhalt können nicht angenommen werden.
Bei Fragen stehen unsere Experten Ihnen gerne Frage und Antwort unter: +49 661 480 276 10 oder support(at)psw.net.


Sectigo: Änderung des Zertifikatsinhalts

Sectigo wird die Informationen "Straße" und "PLZ" aus Zertifikaten entfernen.

Sectigo hat angekündigt, ab dem 01. März 2021 zwei Informationen aus neu beantragten Zertifikaten zu entfernen. Ab diesem Zeitpunkt werden die Felder „Straße“ und „Postleitzahl“ als Inhalt von Zertifikaten nicht mehr Zertifikats benötigt. 

Diese Änderung resultiert weder aus technischen noch aus Compliance-Anforderungen, sondern aus der Tatsache, dass die Felder nicht benötigt werden. 
Alte Zertifikate, die Adressinformationen enthalten, sind weiterhin gültig.

Bei Fragen können Sie sich jederzeit an unseren Support unter +49 661 480 276 10 wenden.


Update zu GlobalSign Ausfallzeiten

Die Wartungsarbeiten betreffen die gesamte Woche vom 25. Januar bis 29. Januar 2021.

GlobalSign hat nun mitgeteilt, dass die Wartungsarbeiten für den Umzug in das neue Rechenzentrum die gesamte Woche vom 25. Januar bis 29. Januar 2021 betreffen. 

Zeitplan für die Neuerungen:

Montag, 25. Januar 2021: IoT, IntranetSSL
Dienstag, 26. Januar 2021: Alle AATL-Produkte
Mittwoch, 27. Januar 2021: DV-, OV- & EV-SSL-Zertifikate
Donnerstag, 28. Januar 2021: AlphaSSL, CloudSSL, Code Signing-Zertifikate
Freitag, 29. Januar 2021: PersonalSign & alle S/MIME-Zertifikate

Bei Ausfällen oder Schwierigkeiten sollten Sie die Status-Seite von GlobalSign beobachten oder uns direkt kontaktieren.

Achtung: Die ursprünglich für den 25. Januar 2021 geplanten Wartungsarbeiten von GlobalSign wurden aufgrund von Einschränkungen durch die Covid-19-Pandemie auf die Woche vom 15. Februar bis 22. Februar 2021 verschoben! Sehen Sie hierzu gerne in das aktuelle Update.


GlobalSign: Neues Rechenzentrum und Ausfallzeiten

für den 25. Januar 2021 geplant.

GlobalSign arbeitet aktuell daran, die Qualität und Verfügbarkeit der eigenen Dienste zu optimieren. Daher hat GlobalSign in ein größeres Rechenzentrum investiert. Somit kann zukünftig die Sicherheit, die Verfügbarkeit und die Skalierbarkeit der Leistungen deutlich verbessert werden.

Die Migration in das neue Rechenzentrum ist für den 25. Januar 2021 geplant. Hierbei geht GlobalSign aktuell von sehr geringen bis keinen Ausfallzeiten aus. Dennoch kann es natürlich auch zu unvorhergesehenen Ausfällen kommen.

Handlungsempfehlung:

Nehmen Sie Bestellungen oder Erneuerungen Ihrer GlobalSign Zertifikate bitte vor dem 25. Januar 2021 vor, wenn Sie diese an dem genannten Datum benötigen. So stellen Sie sicher, dass Sie diese rechtzeitig erhalten.

Fragen / Hilfestellung:

Bei Fragen können Sie sich jederzeit an unseren Support unter +49 661 480 276 10 wenden.


Wichtige Produktinformation

– SwissSign Personal Gold ID

Wir möchten unsere Kunden auf eine wichtige Produktinformation zu dem Produkt „SwissSign Personal Gold ID“ hinweisen. Sollten Sie das E-Mail-Zertifikat nutzen, möchten wir Sie bitten, einige Informationen zu beachten. Dieses Produkt ist nur über die SwissSign MPKI bestellbar.

Bei der Bestellung und Erstellung des Requests (CSR) sollten Sie beachten, dass in dem Namensfeld korrekte Werte eingetragen werden. In dem Feld „Common Name“ sind nur die folgenden zwei Optionen zulässig:

1. Der Name der Person, auf die das Zertifikat ausgestellt wird, konkret: Vor- und Nachname, keine Zusätze, Titel, Ziffern, Punkte oder Kommas.

oder

2. Ein Pseudonym, aber ausschließlich mit Kennzeichnung durch das Präfix „pseudo:“.

Wichtig:
Diese Regelung ist sowohl bei Online-Bestellung sowie auch bei automatisierter Ausstellung zu beachten.

Handlungsempfehlung:
Überprüfen Sie bitte Ihre „SwissSign Personal Gold ID“ E-Mail-Zertifikate auf die korrekte Angabe der Namensbezeichnung. Sollten Sie die o. g. Regelungen zur Ausstellung nicht beachtet haben, so ändern Sie diese bitte ab.

Aufgrund der gestiegenen Compliance-Anforderungen ist SwissSign gezwungen, die Einhaltung der oben beschriebenen Anforderungen sicherzustellen. Zertifikate mit falschem Request werden ab Anfang 2021 nicht mehr ausgestellt werden können. Diese können in dieser Form nicht erneuert werden.

Sofern Sie das Produkt „SwissSign Personal Gold ID“ nicht nutzen oder sämtliche Felder in den Requests bereits richtig befüllt werden, besteht hier kein Handlungsbedarf.

Fragen / Hilfestellung:
Bei Fragen können Sie sich jederzeit an unseren Support unter +49 661 480 276 10 wenden.


GlobalSign Wartung

am 13. Dezember 2020

GlobalSign nimmt am Sonntag, den 13. Dezember 2020 zwischen 12:00 -18:00 Uhr, Wartungen der eigenen Datenbank vor. Hierbei ist mit Ausfällen zu rechnen.

Betroffene Dienste:
Während dieses Wartungsfensters wird die Verwaltung wichtiger Zertifikatsfunktionen (einschließlich Bestellung, Neuausstellung und Erneuerung) nicht verfügbar sein.

Wichtig:

Die Dienste Timestamping, Site Seal und OCSP bleiben verfügbar. Der Digital Signing Service (DSS) und HVCA werden nicht betroffen sein.

Bei Fragen können Sie sich jederzeit an unseren Support unter +49 661 480 276 10 wenden.


DigiCert Wartungsplan und Ausfallzeit 2021

DigiCert hat kürzlich einen Updateplan für das kommende Jahr 2021 veröffentlicht.

Dieser kann für Ihre Planung sicherlich hilfreich sein, da so zertifikatsbezogene Aufgaben vor eventuellen Ausfällen erledigt werden können! Auf der Webseite zum Updateplan von DigiCert sehen Sie alle Termine. Wir fassen diese für Sie hier auch noch einmal zusammen.

DigiCert Wartungs-Termine 2021:

  •     Sonntag, 10. Januar 2021 zwischen 06:00 und 08:00 Uhr
  •     Sonntag, 07. Februar 2021 zwischen 06:00 und 08:00 Uhr
  •     Sonntag, 07. März 2021 zwischen 06:00 und 08:00 Uhr
  •     Sonntag, 04. April 2021 zwischen 06:00 und 08:00 Uhr
  •     Sonntag, 02. Mai 2021 zwischen 06:00 und 08:00 Uhr
  •     Sonntag, 06. Juni 2021 zwischen 06:00 und 08:00 Uhr
  •     Sonntag, 11. Juli 2021 zwischen 06:00 und 08:00 Uhr
  •     Sonntag, 08. August 2021 zwischen 06:00 und 08:00 Uhr
  •     Sonntag, 12. September 2021 zwischen 06:00 und 08:00 Uhr
  •     Sonntag, 03. Oktober 2021 zwischen 06:00 und 08:00 Uhr
  •     Sonntag, 07. November 2021 zwischen 05:00 und 07:00 Uhr
  •     Sonntag, 05. Dezember 2021 zwischen 06:00 und 08:00 Uhr

Wie Sie sehen, fallen die Termine immer auf das Wochenende. Wichtige Zertifikatskäufe, -erneuerungen o. Ä. sollten nach Möglichkeiten jeweils vor den Wartungsarbeiten vorgenommen werden. Die Wartungen sind jeweils mit einem Zeitfenster von 2 Stunden angesetzt, danach sollten alle Portale wieder funktionsfähig und Zertifikate wieder bestellbar sein.

Obwohl für die Wartungszeiten natürlich im Voraus geplant wird, den Geschäftsbetrieb so wenig wie möglich zu beeinträchtigen, können folgende Services ausfallen:

  •     Konsolen- und API-Zugang
  •     Validierung von Zertifikaten
  •     Ausstellung von Zertifikaten
  •     DigiCert-Websites

Bei Fragen können Sie sich jederzeit an unseren Support unter +49 661 480 276 10 wenden.


Wartungsarbeiten bei DigiCert

am 6. Dezember

Am Sonntag, dem 6. Dezember 2020 zwischen 09:00 und 11:00 Uhr, kann es aufgrund von Wartungsarbeiten zu Beeinträchtigungen kommen.

Während der Wartung kann der Zugang zu diesen Diensten und APIs beeinträchtigt sein:
- CertCentral / Dienst API
- Direktes Cert-Portal / API
- Dienst für die Ausstellung von Zertifikaten (CIS)
- Simple Certificate Enrollment Protocol (SCEP)
- Entdeckung / API- ACME- ACME-Agent Automatisierung / API Darüber hinaus kann die Zertifikatsausstellung für diese Dienste und APIs betroffen sein:- CertCentral / Dienst-API
- Direktes Cert-Portal / API
- Dienst für die Ausstellung von Zertifikaten (CIS)
- Simple Certificate Enrollment Protocol (SCEP)
- Vollständige Website-Sicherheit (CWS) / API
- Verwaltete PKI für SSL (MSSL) / API
- PKI-Plattform 7 / PKI-Plattform 8
- QV-Vertrauensverbindung Planen Sie daher Bestellungen mit hoher Priorität, Verlängerungen, Neubestellungen außerhalb des Wartungsfensters. Bei Fragen stehen wir Ihnen gerne unter 06 61 480 276-10 zur Verfügung.


Erneute DigiCert-Wartung

am 08. November 2020

Am Sonntag, den 8. November 2020, zwischen 09:00 - 11:00 Uhr, wird DigiCert eine planmäßige Wartung durchführen.

Auswirkungen für unsere DigiCert-Kunden:

DigiCert hat selbstverständlich einige Vorkehrungen getroffen, um möglichst alle Dienste und Anwendungen schützen. Dennoch werden manche DigiCert-Services während dieser Zeit nicht verfügbar sein.
Während der Wartung im o. g. Zeitraum kann es zu Ausfällen sowie verzögerten Zertifikatsausstellungen bei den folgenden Plattformen kommen:

  •     CertCentral
  •     Cert-Portal
  •     Portal zur Aussstellung von Zertifikaten (CIS)
  •     Zertifikats-Registrierungs-Protokoll (SCEP)
  •     Discovery
  •     ACME
  •     ACME-Automatisierungsdienst
  •     Complete Website Security (CWS)
  •     Managed PKI für SSL (MSSL)
  •     PKI-Plattform 7 & 8
  •     QV-Trust Link
  •     Sowie die jeweiligen API-Schnittstellen zu den genannten Diensten


Was Sie tun können:


Bei bekannten anstehenden Zertifikats-Käufen und -Erneuerungen bitten wir Sie, diese im Voraus zu planen und bereits vor der Wartungszeit durchzuführen. Bei Verwendung der API kann es ebenfalls zu Ausfällen kommen, auch hier bitten wir Sie, dies bereits einzuplanen.

Die Dienste werden Ihnen nach der Wartung uneingeschränkt zur Verfügung stehen. Live-Updates finden Sie auf der DigiCert-Statusseite. Bei Fragen können Sie sich jederzeit an unseren Support unter +49 661 480 276 10 wenden.


DigiCert ersetzt Zwischenzertifikat

Am 02. November 2020 ersetzt DigiCert die unten aufgeführten ICAs.

Bereits ausgestellte Zertifikate sind von den Änderungen nicht betroffen, hier besteht kein Handlungsbedarf.

Sie müssen nur handeln, wenn Sie:
- die alten Versionen der Zwischenzertifikate anpinnen
- die Akzeptanz der alten Versionen der Zwischenzertifikate erzwingen
- einen eigenen Trust Store betreiben, welche die alten Versionen der Zwischenzertifikate enthält

Wir empfehlen Ihnen, die Schlüsselspeicher, den benötigten Code und die möglicherweise verwendeten Zertifikat-Pinnings zu aktualisieren.

• DigiCert SHA2 Secure Server CA
• DigiCert Baltimore CA-2 G2
• DigiCert Global CA G2
• DigiCert ECC Secure Server CA
• DigiCert Baltimore CA-1 G2
• DigiCert Global CA G3
• DigiCert Trusted Server CA G4
• DigiCert ECC Extended Validation Server CA
• DigiCert Assured ID CA G2
• DigiCert Extended Validation CA G3
• DigiCert High Assurance CA-3
• DigiCert EV Server CA G4


Wartungen bei DigiCert

am 4.10.2020

Fulda, den 22.09.2020

Am Sonntag, den 4. Oktober zwischen 09:00 bis 11:00 Uhr morgens wird DigiCert Wartungsarbeiten durchführen. Welche Auswirkungen sind möglich? Während der Wartungsarbeiten kann es bei DigiCert trotz korrekter Planung zu Ausfällen der Erreichbarkeit kommen.

Im oben genannten Zeitfenster kann der Zugang zu folgenden Diensten und APIs beeinträchtigt sein:
• CertCentral
• API
• Cert-Portal
• Zertifikatsausstellung (CIS)
• Zertifikatsbeantragung (SCEP)
• Discovery-API
• ACME 

Zusätzlich zu den oben genannten Diensten kann die Zertifikatsausstellung für diese Dienste und APIs betroffen sein: 
• Vollständige Website-Sicherheit (CWS)
• PKI für SSL (MSSL)
• Symantec-, GeoTrust- und Thawte-Partnerportale sowie deren APIs
• PKI-Plattform 7 und PKI-Plattform 8
• QV Trust Link

Was Sie tun können:
Bei bereits bekannten anstehenden Zertifikats-Käufen und -Erneuerungen bitten wir Sie, diese im Voraus zu planen und gegebenenfalls bereits vor der Wartungszeit durchzuführen. Ebenso kann es bei Verwendung der API zu Ausfällen kommen, auch hier bitten wir Sie, dies bereits einzuplanen.

Die Dienste werden Ihnen nach der Wartung wieder uneingeschränkt zur Verfügung stehen. Live-Updates finden Sie auf der DigiCert-Statusseite. Bei Fragen können Sie sich jederzeit an unseren Support unter +49 661 480 276 10 wenden.


PSW GROUP: Telefonanlage

Wartungsarbeiten

Am 02. - 03.09.2020 kann es aufgrund von Wartungsarbeiten an der Telefonanlage zu Störungen und/oder Verzögerungen bei unserem telefonischen Support kommen. In dringenden Fällen können Sie sich natürlich weiterhin per Mail (support@psw.net) an unsere Mitarbeiter wenden.


Übersicht Umstellung

1-Jahres-Zertifikate

Was ist passiert?

Am 1. September 2020 verabschiedet sich die Branche von den öffentlichen 2-Jahres-SSL/TLS-Zertifikaten. Zukünftig dürfen die Zertifizierungsstellen (CAs) nur noch öffentliche DV-, OV- und EV-Zertifikate mit einer maximalen Gültigkeit von 398 Tagen (ca. 13 Monate) ausstellen.

Was bedeutet dies für meine aktiven 2-Jahres-Zertifikate?

Diese Änderung hat keine Auswirkungen auf Ihre aktiven 2-Jahres-Zertifikate, wenn sie vor dem 31. August 2020 ausgestellt wurden. Diesen Zertifikaten wird weiterhin vertraut, bis sie ablaufen. 

Wann stellen die einzelnen Zertifizierungsstellen um?

• DigiCert (inkl. Thawte, GeoTrust, RapidSSL): 13. August 2020 bzw. 27. August 2020

Um sich auf die Laufzeitänderung vorzubereiten und Kunden eine angemessene Übergangszeit zu gewähren, akzeptiert DigiCert Bestellungen von SSL-Zertifikaten mit einer Laufzeit von 2 Jahren nur noch bis zum 13. August 2020.
Ab dem 27. August 2020 (17:59 Uhr MDT / 01:59 MESZ) werden generell keine 2-Jahres Zertifikate mehr ausgegeben.
Um mögliche Probleme, ausgelöst durch unterschiedliche Zeitzonen, zu vermeiden bietet DigiCert eine maximale Gültigkeitsdauer von 397 Tagen für öffentliche SSL/TLS-Zertifikate an.

• Sectigo & SwissSign: 19. August 2020

Jedes 2-Jahres-SSL/TLS-Zertifikat, dass vor 12:00 Uhr UTC (14:00 Uhr MESZ) am 19. August 2020 ausgestellt wurde, wird zwei Jahre (bis zu 825 Tage) gültig sein. Ab dem 19. August 2020 wird Sectigo und SwissSign nur noch einjährige (bis zu 398 Tage) öffentliche SSL/TLS-Zertifikate ausstellen.  

• Certum: 25. August 2020 bzw. 29. August 2020

Ab dem 25. August 2020 wird es nicht mehr möglich sein, OV- und EV SSL-Zertifikate mit einer Laufzeit von 2 Jahren zu bestellen oder zu erneuern.

Ab dem 29. August 2020 wird es nicht mehr möglich sein DV Zertifikate mit einer Laufzeit von 2 Jahren zu bestellen oder zu erneuern.

DV, OV, & EV SSL-Zertifikate von Certum haben eine maximale Gültigkeitsdauer von 398 Tagen.

• GlobalSign (inkl. AlphaSSL)

Ab dem 31. August 2020 wird die Ausstellung von öffentlich vertrauenswürdigen SSL/TLS-Zertifikaten mit einer Gültigkeitsdauer von 2 Jahren seitens GlobalSign eingestellt. Die maximale Gültigkeitsdauer für alle neu ausgestellten oder erneut ausgestellten SSL-Zertifikate wird 13 Monate (oder 397 Tage) betragen - dies schließt auch QWACs (Qualified Website Authentication Certificates) ein.

Diese Laufzeitänderung hat keine Auswirkungen auf:

• Private SSL/TLS-Zertifikate
• S/MIME bzw. E-Mail-Verschlüsselung
• Code Signing
• Dokumentensignierung

Wie kann ich mich am besten darauf vorbereiten?

✓ Machen Sie eine Bestandsaufnahme Ihrer aktuellen Zertifikate und aller neuen Zertifikate, die Sie mit einer Gültigkeit von 2 Jahren benötigen.

✓ Bestellen oder Erneuern Sie alle 2-Jahres-Zertifikate, die Sie benötigen, am besten 30 Tage im voraus.

✓ Stellen Sie sicher, dass Sie rechtzeitig auf alle Anfragen zur Domain- und Organisationsvalidierung antworten.

Mehrjahrespläne / SSL-Bundle

Um die Laufzeit Ihrer SSL/TLS-Abdeckung zu maximieren, können Sie über unsere Konsole ausgewählte Produkte mit einer Laufzeit von bis zu fünf Jahren erwerben. Bei Zertifikaten, deren Laufzeit über 398 Tagen liegt, erhalten Sie ein fortlaufendes Paket bestehend aus mehreren Zertifikaten.


GlobalSign:

Neue ICA für Domain Validated SSL/TLS

Ab dem 14. August 2020 verwendet GlobalSign ein neues Zwischenzertifikat für domainvalidierte (DV) SSL-/TLS-Zertifikate. GlobalSign nimmt diese Änderung vor, nachdem die CA-Branche darauf hingewiesen hat, dass die Aufnahme einer bestimmten Erweiterung (OCSP-Signatur erweiterte Schlüsselverwendung) in einem Zwischenzertifikat unter bestimmten Bedingungen unbeabsichtigte Auswirkungen auf die Compliance und die Sicherheit hat. Das aktuelle Zwischenzertifikat „GlobalSign RSA DV SSL CA 2018“ ist von diesem Problem betroffen. Bitte beachten Sie, dass keine Schlüssel kompromittiert sind und kein anderweitiger Sicherheitsvorfall stattgefunden hat. Die Änderung wird ausschließlich im Zusammenhang mit der Behebung eines Compliance-Problems sowie der Behebung potenzieller, nicht materialisierter Sicherheitsrisiken durchgeführt.

 

GlobalSign wird im Rahmen eines Sanierungsplans gemäß den Basisanforderungen des CA/B-Forums und dem GlobalSign CPS auf das neue Zwischenzertifikat migrieren. Wenn Sie derzeit über TLS-Zertifikate verfügen, die von GlobalSign RSA DV SSL CA 2018 ausgestellt wurden, können Sie sicher sein, dass Ihre Zertifikate vorerst gültig bleiben und alle betroffenen Kunden rechtzeitig über Widerrufsmaßnahmen informiert werden.

 

Auswirkungen ab 14. August 2020:
Domainvalidierte (DV) SSL/TLS-Zertifikate, die ab dem 14. August 2020 (einschließlich Erneuerungen und Neuausstellung) ausgestellt werden, müssen das neue Zwischenzertifikat (GlobalSign GCC R3 DV TLS CA 2020) auf Ihren Webservern nutzen.


Wartungsarbeiten

bei DigiCert

DigiCert wird am Sonntag, den 09. August 2020 zwischen 09:00 - 11:00 Uhr Wartungsarbeiten durchführen. 

Während der Wartungsarbeiten sind folgende Anbindungen und Services nicht verfügbar:

  • Nutzung der DigiCert API
  • Ausstellung von Zertifikaten der DigiCert Familie aller Art
  • Managed PKI
  • Zertifikatskäufe oder -erneuerungen über die PSW Konsole

 

WICHTIG: Bitte beachten Sie, dass sich diese Einschränkungen auf alle Marken der DigiCert Familie bezieht. Somit sind GeoTrust, Thawte und RapidSSL ebenfalls von dieser Ausfallzeit betroffen.

Wir empfehlen Ihnen Zertifikatskäufe oder -erneuerungen die auf den 09. August 2020 fallen, bereits vor diesem Wartungstag vorzunehmen.

Bei weiteren Fragen, können Sie sich jederzeit an unser Support-Team unter +49 661 480 276 10 oder support(at)psw.net wenden.


Zwischenzertifikate

der DigiCert-Gruppe

Am Donnerstag, den 30. Juli 2020 wird die DigiCert-Gruppe Änderungen an den Zwischenzertifikaten (Intermidiate) vornehmen. Die anstehenden Änderungen werden an den Zwischenzertifikaten von den domainvalidierten GeoTrust- und RapidSSL-Zertifikaten mit gemischten SHA-256-Ketten, genauer: Bronze, Bronze Multidomain und Bronze Wildcard durchgeführt.

Folgen für unsere DigiCert-Kunden
Wir empfehlen, dass Sie bei der Installation der genannten Zertifikate, das Zwischenzertifikat verwenden, welches Sie mitgeliefert bekommen. Handlungsbedarf besteht grundsätzlich nicht, es sei denn Sie haben die oben genannten Zertifikate mit älteren Zwischenzertifikaten via Code verknüpft oder betreieben einen Trust Store, der die Akzeptanz älterer Zwischenzertifikate forciert. In diesen Fällen sollten Sie dringend Aktualisierungen der Zwischenzertifikate vornehmen oder den betroffenen Code entfernen und somit die aktuellen Zertifikatsversionen verwenden.
Auf der Webseite von DigiCert finden Sie die jeweiligen aktuellen Zwischenzertifikate. Alte Zwischenzertifikate werden erst ungültig, wenn alle SSL-Zertifikate, die unter diesem Zwischenzertifikat ausgestellt worden sind, abgelaufen sind.

Bedeutung der Zwischenzertifikate
Zertifizierungsstellen nutzen Zwischenzertifikate, um Zertifikate wie Ihre SSL/TLS-Zertifikate auszustellen. Das Zwischenzertifikat verbindet Ihr Zertifikat mit dem vertrauenswürdigen Stammzertifikat und ermöglicht es Browsern und anderen Anwendungen, ihm zu vertrauen.

Zwischenzertifikatsänderungen

GeoTrust altes Zwischenzertifikat:
GeoTrust RSA CA 2018 (SHA256RSA)

GeoTrust neues Zwischenzertifikat:
GeoTrust TLS DV RSA Mixed SHA256 2020 CA-1

RapidSSL altes Zwischenzertifikat:
RapidSSL RSA CA 2018 (SHA256RSA)

RapidSSL neues Zwischenzertifikat:
RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1

Bei Fragen, können Sie sich jederzeit an unser Support-Team unter +49 661 480 276 10 oder support@psw.net wenden.


Wartungsarbeiten

der PSW GROUP

In der Nacht vom Mittwoch, dem 29.07.2020 auf den 30.07.2020 werden wir, die PSW GROUP, Wartungsarbeiten an unseren Systemen vornehmen. Wir führen diese Wartung bewusst in der Nacht durch, um den gewöhnlichen Geschäftsbetrieb minimal und möglichst gar nicht zu beeinflussen. Wir haben für diese Aktualisierung den Zeitraum vom 30.07.2020 00:00 Uhr bis zum 30.07.2020 05:00 Uhr angesetzt, wobei sich die genaue Wartungszeit nicht voraussehen lässt. Dementsprechend kann die Zeit natürlich variieren. Wir werden versuchen, die Ausfallzeiten so kurz wie möglich zu halten.

Betroffene Services und Funktionen

Während der Wartungsarbeiten kann es zu Verfügbarkeitsproblemen unserer Webseite, unserer Konsole und jeglicher unserer Online-Services kommen.

Wir empfehlen Ihnen dringend, kritische Zertifikatsmanagement-Aktionen vor dem 29.07.2020 vorzunehmen, da es im Worst Case am 30.07.2020 noch immer zu Ausfallzeiten kommen könnte.

Bei Fragen, können Sie sich jederzeit an unser Support-Team unter +49 661 480 276 10 oder support@psw.net wenden.


Aktuelle DigiCert Wartungsarbeiten

DigiCert wird am Sonntag, den 19. Juli 2020 zwischen 9:00 - 11:00 Uhr morgens kritische Wartungsarbeiten durchführen.

Ursprünglich war von DigiCert angekündigt, dass diese Wartung im regulären Wartungsfenster am 12. Juli 2020 durchgeführt werden soll. Diese wird hiermit aber auf den 19. Juli 2020 verschoben.
 

Leider werden während der Wartungsarbeiten einige Funktionen beim DigiCert-Zertifikatskauf nicht verfügbar sein:
 

  • Nutzung der DigiCert API
  • Ausstellung von Zertifikaten aller Art
  • Website-Sicherheit
  • Managed PKI
 

Die Dienste werden wiederhergestellt, sobald die kritischen Wartungsarbeiten abgeschlossen sind.


HINWEIS: Sollten bei Ihnen Zertifikatskäufe oder -erneuerungen direkt an oder nach diesem Datum anstehen, ist es empfehlenswert, diese Anpassungen bereits vor dem Wartungstag vorzunehmen. So beugen Sie Zeitnot bedingt durch die Ausfallzeiten vor.
 

Bei weiteren Fragen, können Sie sich jederzeit an unser Support-Team unter +49 661 480 276 10 oder support@psw.net wenden.


UPIK:

Aktuell nicht nutzbar

Als Quelle der Telefonnummern, die für die telefonische Validierung genutzt werden dürfen, verwenden wir unter anderem die UPIK-Plattform. Bisher wurde diese Plattform als Quelle der Telefonnummern für Validierungsanrufe bei SSL-, E-Mail- und Code Signing-Zertifikaten am Häufigsten genutzt.
 

Allerdings hat die Bisnode Deutschland GmbH (UPIK) am vergangenen Freitag, den 19.06.2020, die eigene Webseite überarbeitet. Aufgrund dieses Updates werden zum aktuellen Zeitpunkt keine Telefonnummern mehr angezeigt. Hieraus resultiert, dass UPIK nicht mehr als Datenquelle für die telefonische Validierung dienen kann. 
 

Alternative Quellen, die wir aktuell zur telefonischen Validierung anbieten können sind:
 

Diese können CA-unabhängig genutzt werden. 
 

WICHTIG: Die Validierung von Inhaberdaten (sofern keine Handelsregisterdokumente oder Vereinsregisterauszüge vorliegen) kann noch immer über UPIK erfolgen.


Notfallwartung und Ausfallzeiten

bei DigiCert

Am Sonntag, den 28. Juni 2020 von 05:00 bis 07:00 Uhr morgens wird DigiCert kurzfristig eine Wartung durchführen. In diesem Zeitraum wird es zu Einschränkungen im Bestellprozess kommen. Diese Beschränkungen betreffen:

  • Nutzung der DigiCert API
  • Ausstellung von Zertifikaten aller Art
  • Website-Sicherheit
  • Managed PKI
 

HINWEIS: Sollten bei Ihnen Zertifikatskäufe oder -erneuerungen direkt an oder nach diesem Datum anstehen, ist es empfehlenswert, diese Anpassungen bereits vor dem Wartungstag vorzunehmen. So beugen Sie Zeitnot bedingt durch die Ausfallzeiten vor.


Umstellung auf SECTIGO-Domains

vollständig

Seit der Akquisition der Comodo CA von Francisco Partners im Ende des Jahres 2017, haben die Comodo- (heute SECTIGO-) Zertifikate einige Änderungen erfahren. Seither hat SECTIGO damit begonnen, alte Comodo-Domains auf die neuen und aktuellen SECTIGO-URLs umzuziehen. Mittlerweile ist dieser Umzugsprozess mit der letzten Domain:
 

abgeschlossen. Sollten Sie also auf Domains mit dem Inhalt „comodo“ stoßen, so sind diese nicht mehr aktuell. 


SECTIGO:

Probleme mit Root-Zertifikat

Das AddTrust External Root CA Stammzertifikats von SECTIGO ist mittlerweile abgelaufen. Jedoch lief das Ende des Zertifikats nicht ganz so unproblematisch ab, wie eingangs erwartet. Viele älterer TLS-Clients haben Probleme mit dem abgelaufenen Zertifikat. Selbstverständlich sind alle SECTIGO Zertifikate noch gültig, allerdings sind Probleme bei der Berechnung des richtigen Vertrauenspfades entstanden. Dieses Problem tritt dann auf, sofern Sie die GnuTLS-Bibliothek oder ältere OpenSSL-Versionen verwenden. Mittlerweile nutzt SECTIGO ein neues Stammzertifikat mit dem Namen „UserTrust“. Problematisch war auch hier, dass SECTIGO ein cross-signiertes Zertifikat mitlieferte, welches gleichzeitig mit dem AddTrust-Zertifikat abgelaufen ist. In vielen Servern wurde dies aber weiterhin verschickt. Die Reaktion auf dieses Zertifikat ist vom Client abhängig. Bei richtiger Vorgehensweise stört den Client das abgelaufene Zwischenzertifikat nicht. Manche Clients sehen lediglich das Zwischenzertifikat und lehnen die Verbindung ab. In den gängigen Browsern entstehen bei SECTIGO Zertifikaten aktuell keine Probleme, die Schwierigkeiten beziehen sich lediglich mit Tools, die TLS-Bibliotheken verwenden. In diesen Fällen sollten Sie einfach das abgelaufene Zwischenzertifikat entfernen.


Abschaltung der Symantec Partner API

DigiCert hat mitgeteilt, die veraltete Symantec Partner API am 30. Juni 2020 final abzuschalten.

Wenn Sie die API also weiter nutzen möchten, besteht Handlungsbedarf. Sie müssen hierfür jegliche Verweise auf die Symantec-Domain zu der aktuellen DigiCert Domain-URL ändern. Somit erleichtern Sie Ihren Kunden die Kauferfahrung und sich selbst den reibungslosen Geschäftsprozess. Bei Fragen können Sie sich natürlich auch an uns unter support@psw.net oder +49 661 480 276 10 wenden.


Procilon: Wartungsarbeiten

vom 08.06.-12.06.2020

Zur Weiterentwicklung der Zertifikatsservices von Procilon ist es notwendig die Zertifikatserstellung in der Woche vom 08.06. bis 12.06.2020auszusetzen. Zertifikate können in der Zwischenzeit wie gewohnt bestellt werden, allerdings werden diese voraussichtlich erst nach dem 15.06.2020 ausgestellt.


GlobalSign:

Kommende Wartung und Ausfallzeiten

Am Sonntag, den 31. Mai 2020 zwischen 12:00 und 16:00 Uhr Mitteleuropäischer Zeit, wird GlobalSign Änderungen an den eigenen Datenbanken vornehmen. Diese sind mit Systemausfallzeiten in eben diesem Zeitraum verbunden. 

Während der Wartungsarbeiten wird es nicht möglich sein, Zertifikate zu bestellen oder zu erneuern. Hiervon ist sowohl die Bestellung über Ihr Nutzer-Konto sowie über die API betroffen.

Die Timestamp-, Siegel- oder OCSP-Dienste bleiben von den Arbeiten aber unberührt und können weiterhin genutzt werden.

Wichtig: Sollten bei Ihnen in diesem Zeitraum Zertifikatsbestellungen, -erneuerungen oder Ähnliches anstehen, nehmen Sie diese bestenfalls einige Tage vor den Wartungsarbeiten vor, um einen reibungslosen Ablauf zu gewährleisten.


Schlagzeilen um DigiCert

Wir klären auf

Seit dieser Woche war DigiCert aufgrund eines angeblichen Hacks der CA vermehrt in den Schlagzeilen vertreten. Verschiedene IT-News Seiten haben berichtet, dass aufgrund von Sicherheitslücken des Servermanagement-Tools Saltstack die Server unterschiedlichster Unternehmen gehackt worden seien. Über die Open Source-Software sei es möglich gewesen, die Digicert- und Lineage-OS-Server zu hacken und auf einen privaten Schlüssel eines Logs von DigiCert zu stoßen. In manchen Portalen wurde vermutet, dass nun eine neue Neuausstellung der in dieser Zeit ausgestellten Zertifikate erfolgen müsse.

Statement von DigiCert

DigiCert hat am 03. Mai verkündet, dass man den CT 2 Log aufgrund des Vorfalls sicherheitshalber deaktivieren wird. Ohnehin handele es sich um ein sehr altes Log, das bereits nicht mehr verwendet wurde. Man vermute nicht, dass Angreifer eine Möglichkeit gehabt hätten, den CT Log zu missbrauchen. Die gesamte CA DigiCert läuft komplett getrennt von den CT-Protokollen. Weiterhin benötigt man Zugriff auf mehrere CT Logs, um diese effektiv verwenden zu können. Da auch die CT Logs voneinander getrennt sind, sieht man auf Seite von DigiCert nur ein geringes Risiko.


Wissenswert für unsere DigiCert-Kunden

Es ist keine Neuausstellung ihrer Zertifikate erforderlich. Da nicht wie oft vermutet die gesamte CA gehackt wurde, sondern lediglich ein einziger CT Log betroffen war, können Sie Ihre Zertifikate wie gewohnt ohne Bedenken verwenden.


SECTIGO – Änderungen

an SECTIGO SSL-Zertifikaten auf einen Blick

AddTrust External Root-Zertifikat läuft am 30. Mai ab

SECTIGO SSL-Zertifikate werden derzeit unter dem AddTrust External Root-Zertifikat (Deutsch: Stamm-Zertifikat) ausgestellt. Dieses Root-Zertifikat läuft allerdings am 30. Mai ab. 

Warum ein neues Root-Zertifikat?

Stammzertifikate sind selbstsignierte Zertifikate, die erst dann als „vertrauenswürdig“ bezeichnet werden, wenn Sie durch einen Browser oder ein Betriebssystem anerkannt werden. Die Aktualität der vertrauenswürdigen Zertifikate wir regelmäßig in Form von Sicherheitsupdates geprüft. Zertifikate für Ihre Webseite sind über verschiedenste Intermediate-Zertifikate (Zwischen-Zertifikate) mit dem Stamm-Zertifikat verbunden. Die Stamm-Zertifikate müssen in regelmäßigen Abständen aktualisiert werden, um ein Maximum an Sicherheit zu gewährleisten.

Diese Veränderungen sind zu erwarten

Das neue Root-Zertifikat für alle von SECTIGO ausgestellten Zertifikate wird das USERTrust RSA Certification Authority (Root CA) sein. SECTIGO hat letztes Jahr ein Zwischenzertifikat mit den gleichen Namen wie das neue Root-Zertifikat in die Zertifikatskette eingebaut somit kann die Zertifikatskette nach der Entfernung des alten Root-Zertifikates weiterhin aufgebaut werden. 

Auf aktuellen Geräten und Plattformen sollten keine Fehler angezeigt werden. Veraltete Browser oder Geräte könnten weiterhin das abgelaufene Zertifikat als Stamm-Zertifikat identifizieren.

Das müssen Kunden beachten:

In den allermeisten Anwendungsfällen besteht kein Handlungsbedarf. Alle aktuellen Client- und Betriebssysteme nutzen die neuen COMODO- und USERTrust-Roots, welche erst 2038 auslaufen. In diesem Fall bleibt Ihr Zertifikat bis zum Ablaufdatum normal gültig und Sie benötigen keine Neu Ausstellung oder-Installation des Zertifikats. Für die Verwendung in sehr alten Systemen hat SECTIGO eine neues Root Zertifikat namens „AAA Certificate Services“-Root bereitgestellt. Dieses erhalten Sie ab dem 30. April direkt bei SECTIGO.


Verzögerung bei der Ausstellung

von GlobalSign Zertifikaten

Aufgrund eines Ausfalles eines der Rechenzentren von GlobalSign kann es zu deutlichen Verzögerungen bei der Ausstellung von Zertifikaten kommen. Die meisten Bestellungen werden in den kommenden zwei Tagen manuell bearbeitet. Dennoch kann es passieren, dass Zertifikate „declined“ (abgelehnt) werden, diese werden zeitnah automatisch erneuert und bearbeitet werden. GlobalSign arbeitet derzeit mit Hochdruck an einer Lösung. Bei weiteren Fragen steht Ihnen unser telefonischer Support gerne unter 0661/480276-10 zur Verfügung.

**UPDATE 17.03.2020**: Das Ingenieur-Team von GlobalSign hat bestätigt, dass das Datenzentrum nun vollständig stabilisiert ist und alle Dienste wieder funktionieren.


Apple senkt Gültigkeitsdauer

von SSL-Zertifikaten auf 1 Jahr!

Nach langen Diskussionen um die optimale Zertifikatslaufzeit bei SSL-Zertifikaten hat Apple vorgestern ganz deutlich Stellung bezogen. Das Technologieunternehmen hat angekündigt, mit dem hauseigenen Browser Safari ab dem 01. September 2020 nur noch SSL-Zertifikate mit einer Gültigkeitsdauer von einem Jahr (bzw. 398 Tagen) zu akzeptieren. Auch Google hatte dem CA/Browser Forum im August 2019 den Vorschlag unterbreitet, nur noch Zertifikate mit einer Gültigkeitsdauer von einem Jahr zu akzeptieren. Google konnte die Mitglieder des Forums mit dem Vorschlag allerdings nicht überzeugen. Vermutlich wird also auch Google die Initiative Apples unterstützen und 1-Jahres-Zertifikate vorantreiben.

Das bedeutet für Sie: SSL-Zertifikate mit längerer Laufzeit, die Sie vor dem 01. September 2020 erwerben, werden in Safari weiterhin korrekt angezeigt. Sie haben diese Zertifikate also nicht umsonst gekauft. Nach dem 01. September 2020 sollten Sie aber ausschließlich auf 1-Jahres-Zertifikate setzen, um Warnungen und Fehlermeldungen auf Ihrer Website zu vermeiden.