5
Telematik: OCSP-Forwarder nicht erreichbar
Hallo zusammen,
weiß jemand, was hinter dieser heute aufgetretenden TI-Fehlermeldung stecken könnte?
In der Paxissoftware:
Im Konnektor:
Gibt es da einen Ausfall auf Anbieterseite, oder ist bei meiner Bekannten lokal etwas nicht in Ordnung?
Danke im Voraus,
Sarek \\//_
weiß jemand, was hinter dieser heute aufgetretenden TI-Fehlermeldung stecken könnte?
In der Paxissoftware:
Im Konnektor:
Gibt es da einen Ausfall auf Anbieterseite, oder ist bei meiner Bekannten lokal etwas nicht in Ordnung?
Danke im Voraus,
Sarek \\//_
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5982245858
Url: https://administrator.de/contentid/5982245858
Ausgedruckt am: 03.12.2024 um 18:12 Uhr
5 Kommentare
Neuester Kommentar
Moin,
welche Konnektor ist das denn? Ggf. mal nach Firmware-Update schauen.
Ansonsten beim Anbieter nach einer Statusseite schauen. Geht um die Gültigkeitsprüfung der Zertifikate (OCSP) im VPN-ZUgangsdienst. Sieht mir nach einem SecuNet Konnektor aus. Kann auf Anbieterseite, aber auch auf Konnektorseite liegen.
Gruß
cykes
welche Konnektor ist das denn? Ggf. mal nach Firmware-Update schauen.
Ansonsten beim Anbieter nach einer Statusseite schauen. Geht um die Gültigkeitsprüfung der Zertifikate (OCSP) im VPN-ZUgangsdienst. Sieht mir nach einem SecuNet Konnektor aus. Kann auf Anbieterseite, aber auch auf Konnektorseite liegen.
Gruß
cykes
1
Zitat von @cykes:
welche Konnektor ist das denn? Ggf. mal nach Firmware-Update schauen.
Ansonsten beim Anbieter nach einer Statusseite schauen. Geht um die Gültigkeitsprüfung der Zertifikate (OCSP) im VPN-ZUgangsdienst. Sieht mir nach einem SecuNet Konnektor aus. Kann auf Anbieterseite, aber auch auf Konnektorseite liegen.
welche Konnektor ist das denn? Ggf. mal nach Firmware-Update schauen.
Ansonsten beim Anbieter nach einer Statusseite schauen. Geht um die Gültigkeitsprüfung der Zertifikate (OCSP) im VPN-ZUgangsdienst. Sieht mir nach einem SecuNet Konnektor aus. Kann auf Anbieterseite, aber auch auf Konnektorseite liegen.
Es ist ein Secunet-Konnektor, die Firmware ist 5.1.3, also aktuell.
Eine Statusseite finde ich bei Secunet nicht, nur bei der Gematik - dort scheint aber alles ok zu sein.
Hier noch einige Screenshots:
Wenn ich dort die erste Zeile mit dem "unbekannten Fehler" anklicke:
Wenn ich den dort verlinkten Sicherheits-Selbsttest durchführe, scheint aber alles ok:
Wenn ich aber im Bereich "Zertifikate" den Punkt "TSL aktualisieren" wähle, kommt:
Was bedeutet "Signatur ist nicht gültig"? Und ist das eine Folge des OCSP-Fehlers (weil die Online-Prüfung nicht stattfinden kann) oder vielleicht die Ursache?
Moin....
schon mal ganz Doof den Stromstecker gezogen? 2 Minuten auslassen und einschalten, 15 Minuten warten!
Frank
schon mal ganz Doof den Stromstecker gezogen? 2 Minuten auslassen und einschalten, 15 Minuten warten!
Frank
Hallo Sarek,
wie Kollege @cykes schon schreibt, handelt es sich um die Online-Zertifikatsprüfung. Beim OCSP-Responder wird die Gültigkeit von Zertifikaten abgefragt, das können alle möglichen Zertifikate sein, in der TI sind es HBA, eGK und SMC-B. Wann hier geprüft wird, habe ich noch nicht ganz verstanden. Mal wird die eGK gesteckt und es passiert nichts, mal wird nach dem Stecken die OCSP-Prüfung eingeleitet.
Der OCSP-Responder steht beim Trust-Service-Provider, also dem Zertifikatsherausgeber. In der OCSP-Abfrage wird (nur) der Sperrstatus des Zertifikats abgefragt. Ist der Responder nicht verfügbar, kann die Zertifikatsprüfung nicht statt finden und es wird (grundsätzlich) auf Offline-Prüfung umgeschaltet und eine Fehlermeldung ausgegeben.
In Deinem Fall gibt es ja eine Kette von Fehlern. Der Secunet meldet das sehr hübsch:
Die markierte Meldung "Signatur" deutet auf einen gescheiterten Signaturvorgang hin. Die darüber stehende Meldung bezieht sich auf dei TSL-Datei, dies ist die Trustservice Status List, eine Liste der zugelassenen Zertifikatsherausgeber. Diese ist signiert. Die darunter stehenden Meldungen beziehen sich auf OCSP-Fehler. Ich verstehe das so, dass die Signatur der TSL wegen der Nichterreichbarkeit des OCSP-Responders nicht geprüft werden konnte. Vermutlich gibt es hier keinen offline-Modus und die Gültigkeit der Signatur wird abgelehnt.
Wenn der OCSP-Responder nicht erreichbar ist, kann dies am Responder oder an der Verbindung des Konnektors liegen. Wenn der Konnektor sonst korrekt arbeitet, würde ich es als temporären Fehler ansehen, der sich wahrscheinlich von selbst in Luft auflösen wird. Wie viele Konnektorprobleme, wenn man dem Rat des lieben Kollegen @Vision2015 folgt
Viele Grüße, commodity
wie Kollege @cykes schon schreibt, handelt es sich um die Online-Zertifikatsprüfung. Beim OCSP-Responder wird die Gültigkeit von Zertifikaten abgefragt, das können alle möglichen Zertifikate sein, in der TI sind es HBA, eGK und SMC-B. Wann hier geprüft wird, habe ich noch nicht ganz verstanden. Mal wird die eGK gesteckt und es passiert nichts, mal wird nach dem Stecken die OCSP-Prüfung eingeleitet.
Der OCSP-Responder steht beim Trust-Service-Provider, also dem Zertifikatsherausgeber. In der OCSP-Abfrage wird (nur) der Sperrstatus des Zertifikats abgefragt. Ist der Responder nicht verfügbar, kann die Zertifikatsprüfung nicht statt finden und es wird (grundsätzlich) auf Offline-Prüfung umgeschaltet und eine Fehlermeldung ausgegeben.
In Deinem Fall gibt es ja eine Kette von Fehlern. Der Secunet meldet das sehr hübsch:
Die markierte Meldung "Signatur" deutet auf einen gescheiterten Signaturvorgang hin. Die darüber stehende Meldung bezieht sich auf dei TSL-Datei, dies ist die Trustservice Status List, eine Liste der zugelassenen Zertifikatsherausgeber. Diese ist signiert. Die darunter stehenden Meldungen beziehen sich auf OCSP-Fehler. Ich verstehe das so, dass die Signatur der TSL wegen der Nichterreichbarkeit des OCSP-Responders nicht geprüft werden konnte. Vermutlich gibt es hier keinen offline-Modus und die Gültigkeit der Signatur wird abgelehnt.
Wenn der OCSP-Responder nicht erreichbar ist, kann dies am Responder oder an der Verbindung des Konnektors liegen. Wenn der Konnektor sonst korrekt arbeitet, würde ich es als temporären Fehler ansehen, der sich wahrscheinlich von selbst in Luft auflösen wird. Wie viele Konnektorprobleme, wenn man dem Rat des lieben Kollegen @Vision2015 folgt
Viele Grüße, commodity
Zitat von @Vision2015:
schon mal ganz Doof den Stromstecker gezogen? 2 Minuten auslassen und einschalten, 15 Minuten warten!
schon mal ganz Doof den Stromstecker gezogen? 2 Minuten auslassen und einschalten, 15 Minuten warten!
Hatte ich bisher nicht - zum einen weil ich in der Nacht von zuhause aus danach den PIN für die SMC-B nicht hätte eingeben können und zum anderen, weil ich den Spruch "jeder Boot tut gut" eher mit Windows-Rechnern in Verbindung gebracht hätte. Aber tatsächlich hat ein Neustart das Problem behoben ...
