megaadwwh
Goto Top

Zertifkate nach Update abgelaufen

Hallo zusammen, in Anbetracht der BSI Warnung haben wir gestern die Updates auf unserem Exchange Server geladen. Sie sollten "eigentlich" nicht installiert werden, Windows entscheid sich es trotzdem zu machen.

Nun sind 5 Zertifikate ungültig, wie bekomme ich das in den Griff?
zertifikate

Content-Key: 21575391762

Url: https://administrator.de/contentid/21575391762

Printed on: May 18, 2024 at 16:05 o'clock

Member: SlainteMhath
SlainteMhath Mar 28, 2024 at 10:30:52 (UTC)
Goto Top
Moin,

der Ablauf der Zertifikate hat sicher nichts mit der Installation der Updates zu tun face-smile

Nun sind 5 Zertifikate ungültig, wie bekomme ich das in den Griff?
Grob gesagt: Wenn die Zertifikate noch an Dienste gebunden sind: durch gültige ersetzen, wenn sie an keine Dienste gebunden sind: löschen.

lg,
Slainte
Member: Megaadwwh
Megaadwwh Mar 28, 2024 at 10:40:23 (UTC)
Goto Top
Danke dafür, also es hat sich soeben herausgestellt das es tatsächlich keinen Einfluss auf den E-Mail Empfang und Versand hat. Die Updates haben für den kickout gesorgt und deswegen ging nichts rein oder raus.

Nachdem die Festplatten etwas geleert wurden, läuft es wieder.
Member: aqui
aqui Mar 28, 2024 at 10:43:55 (UTC)
Goto Top
Member: StefanKittel
StefanKittel Mar 28, 2024 at 11:19:16 (UTC)
Goto Top
Zitat von @Megaadwwh:
Danke dafür, also es hat sich soeben herausgestellt das es tatsächlich keinen Einfluss auf den E-Mail Empfang und Versand hat. Die Updates haben für den kickout gesorgt und deswegen ging nichts rein oder raus.

Kurzer Hinweis am Rande zu den Zertifikaten.

Im IIS gibt es ein Zertifikat für alles was mit HTTPs nach extern geht.
Das sieht man sofort wenn das nicht mehr aktuell ist. Diese werden üblicherweise verlängert.

Per SMTP, IMAP und POP werden für SSL und TLS auch Zertifikate verwendet.
Fast alle Provider nutzen diese Verschlüsselung obwohl diese abgelaufen sind.
Bei ganz wenigen Mail gibt es Fehler. Deshalb vergessen die Viele.
Diese bitte zur Sicherheit aller auch ersetzen.

Die restlichen Zertifikate sind intern. Da haben viele noch die von der Erstinstallation die 5 oder 10 Jahre gültig sind.
Die "nerven" dann wenn sie ablaufen. Hier zwischendurch mal reinschauen wann die Ablaufen.

Stefan
Member: 0J4N90
0J4N90 Mar 29, 2024 at 12:35:14 (UTC)
Goto Top
5 oder 10 Jahre Gültigkeit bei Zertifikaten? Versehentlich abgelaufene Zertifikate im Einsatz? Wie bitte?

Bitte nicht falsch verstehen, aber ich kann mich des Eindrucks nicht erwehren, dass da jemand seinen Job nicht ernst nimmt und entsprechend erledigt! Warum? Nun, 1. monitored man die Restlaufzeit aller seiner Zertifikate ordentlich und wird tätig bevor dies ablaufen! 2. Wählt man keine 5 oder 10 Jahre, bei der Zertifikatslaufzeit, in der Regel ein oder max 2 Jahre. Warum das? Nun, wenn man sich regelmäßig mit den Zertifikaten befasst, wird man in dem Zuge Schlüssellängen, MACs und Ciphers überprüfen und diese ggf. den neuen Erkenntnissen nach anpassen/austauschen! Entsprechend unterstützt man die handelnden Personen, in dem man Ihnen Schulungen angedeihen lässt und diese hinreichend informiert.

Also nix für ungut, aber wenn schon, dann bitte richtig machen!
Member: StefanKittel
StefanKittel Mar 29, 2024 at 16:01:58 (UTC)
Goto Top
Moin,
Zitat von @0J4N90:
5 oder 10 Jahre Gültigkeit bei Zertifikaten? Versehentlich abgelaufene Zertifikate im Einsatz? Wie bitte?
Noch nie einen Exchange installiert? Der erstellt automatisch einige intern Zertifikate die im LAN verwendet werden mit dem Exchange als CA. Die sind meiste 5 oder 10 Jahre gültig.
Da man die nicht "sieht", kümmert sich im KMU Umfeld fast keiner drum.
Nur das sichtbare für HTTPs wird gemacht.
Darauf habe ich hingewiesen.
Stefan
Member: 0J4N90
0J4N90 Mar 30, 2024 updated at 08:51:45 (UTC)
Goto Top
Luciver bewahre! Nein zum Glück bin ich von solchen Dingen verschont, ich bewege mich da schon eher in professionellen Kreisen, wenn es um Mailserver und Security geht. Bei den Installationen die ich betreue werden Zehntausende Postfächer bedient und bis zu 10 Mio Mails an bestimmten Tagen umgesetzt. Da braucht man schon das wirklich (nachgewiesen) gute Zeug. Ist man darüber hinaus auch noch BSI Zertifiziert ist man schon im der Pflicht, sich um Einsatz von Schlüssel, deren Länge, MAcs und Ciphers und dem Umgang mit RAs und CAs und Zertifikatslaufzeiten gewissenhaft Gedanken zu machen. Und wie ich bereits schrieb, sich auch über die Qualifizierung der AdministratorInnem Gedanken zu machen. All das schließt eine Hemdsärmelige Betrachtung Umgang und Einsatz von Software und Zertifikate aus!
Member: StefanKittel
StefanKittel Mar 30, 2024 at 09:20:26 (UTC)
Goto Top
Moin 0J4N90,

ja im KMU Bereich geht es viel lustiger zu face-smile
Sehr viele Firmen bis 100 MA haben keinen eigenen IT-Mitarbeiter sondern nur eine externe IT.

Stefan
Member: 0J4N90
0J4N90 Mar 30, 2024 updated at 10:14:03 (UTC)
Goto Top
Na ja ob das lustiger ist, wage ich doch zu bezweifeln. ­čśë
Ich vermute ja, dass da in dem Geschäftsfeld mehr als genug Firmen unterwegs sind, die selbst als IT-Firmen nicht genug ausgebildete und erfahrene ITler beschäftigen. ­čźú
Member: StefanKittel
StefanKittel Mar 30, 2024 at 10:22:27 (UTC)
Goto Top
Zitat von @0J4N90:
Ich vermute ja, dass da in dem Geschäftsfeld mehr als genug Firmen unterwegs sind, die selbst als IT-Firmen nicht genug ausgebildete und erfahrene ITler beschäftigen. ­čźú

Das ist korrekt.
Das ist ein Basis-Problem bei der IT von KMU-Kunden und schon immer wegesen.
Deren IT-Budget ist zu gering, der Anteil an Spontan-Support zu hoch. IT-Dienstleister haben ein großes Problem damit hier profitabel zu arbeiten. Auch ist es für IT-Mitarbeiter nur bedingt interessant. Also arbeiten hier weniger qualifizierte und motivierte Mitarbeiter.
Die Auswirkungen sieht man an allen Ecken und Enden.

Stefan