139511
12.04.2019, aktualisiert am 14.04.2019
1996
11
0
CertCenter AG und der "Support"
Ich hatte den Zertifikatsreseller CertCenter aus Gießen zunächst per Webchat auf einen wettbewerbswidrigen Angebotstext hingewiesen, da er auf seinen Seiten PersonalSign 1 und PersonalSign 2 jeweils irreführende Werbeangebote publiziert, indem er Klasse 1 und 2 Zertifikate mit den Features für Klasse 3 Zertifikate bewirbt (mit Namen und verifizierter Firma/Abteilung/Einheit). Das tatsächlich beinhaltete Angebot findet sich klar und unmißverständlich auf der Seite des Zertifikatausstellers unter Preisoptionen. Der "Support" der CertCenter AG war in einem Telefonat auf eindringliche Erklärung nicht willens oder in der Lage, eine Rechtswidrigkeit in den Angebotstexten zu erkennen. Erst die Rechtsabteilung der zuständigen IHK mußte nach meiner telefonischen Inkenntnissetzung den Reseller auf die Rechtswidrigkeit aufmerksam machen, geschehen ist seither nichts!
Bei der Bestellung eines "GlobalSign PersonalSign 2" Zertifikates bekam ich dann nicht ein PKCS#12 formatiertes S/MIME-Zertifikat als .pfx-Datei, sondern unbrauchbare .pem und .crt Dateien, welche weder von Windows Live Mail noch von der G-Suite von Google als Email-Zertifikat erkannt wurden. Es wurde bei Abholung des Zertifikates noch nicht mal die Erstellung eines Zertifikatpasswortes gefordert, so daß es sich um ein ungesichertes Zertifikat handelte, welches im Falle eines Datenleaks von jedem Hacker/Spammer hätte verwendet werden können. Auch in der Windowskonsole konnte das nicht in das benötigte Format konvertiert oder passwortgesichert werden. Ein gewisser “Carsten”, der sich als der Vorstand des Unternehmens ausgab, hat sich in dem "Support"-Chat besonders hervorgetan und dann das Zertifikat ohne jede ansatzweise Lösung des Problems storniert, Chatverlauf unter http://www.der-moderator-war-da.de.
Bei der Bestellung eines "GlobalSign PersonalSign 2" Zertifikates bekam ich dann nicht ein PKCS#12 formatiertes S/MIME-Zertifikat als .pfx-Datei, sondern unbrauchbare .pem und .crt Dateien, welche weder von Windows Live Mail noch von der G-Suite von Google als Email-Zertifikat erkannt wurden. Es wurde bei Abholung des Zertifikates noch nicht mal die Erstellung eines Zertifikatpasswortes gefordert, so daß es sich um ein ungesichertes Zertifikat handelte, welches im Falle eines Datenleaks von jedem Hacker/Spammer hätte verwendet werden können. Auch in der Windowskonsole konnte das nicht in das benötigte Format konvertiert oder passwortgesichert werden. Ein gewisser “Carsten”, der sich als der Vorstand des Unternehmens ausgab, hat sich in dem "Support"-Chat besonders hervorgetan und dann das Zertifikat ohne jede ansatzweise Lösung des Problems storniert, Chatverlauf unter http://www.der-moderator-war-da.de.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Kommentar vom Moderator Dani am 14.04.2019 um 21:49:45 Uhr
Link zum Chatverlauf gelöscht.
Content-ID: 440016
Url: https://administrator.de/knowledge/certcenter-ag-und-der-support-440016.html
Ausgedruckt am: 22.04.2025 um 21:04 Uhr
11 Kommentare
Neuester Kommentar
Bei der Bestellung eines "GlobalSign PersonalSign 2" Zertifikates bekam ich dann nicht ein PKCS#12 formatiertes S/MIME-Zertifikat als .pfx-Datei, sondern unbrauchbare .pem und .crt Dateien
Von wegen unbrauchbar, wenn man sich zumindest Mal mit den Basics auseinandergesetzt hätte, hätte man sich das pfx mit Openssl, was übrigens auch hervorragend unter Windows arbeitet mit einem Einzeiler generieren können., welche weder von Windows Live Mail noch von der G-Suite von Google als Email-Zertifikat erkannt wurden.
s.o.Es wurde bei Abholung des Zertifikates noch nicht mal die Erstellung eines Zertifikatpasswortes gefordert, so daß es sich um ein ungesichertes Zertifikat handelte, welches im Falle eines Datenleaks von jedem Hacker/Spammer hätte verwendet werden können.
Wieder die Grundlagen für Zertifikate. Den Private Key generiert man sich immer selbst und gibt diesen nie nie nimmer aus der Hand, der Anbieter bekommt nur den CSR vom Kunden sonst nichts. Auch diesen von jemandem generieren lassen ist grob fahrlässig hoch drei. Das ist wie wenn du einen Schlüsselabdruck bei Facebook veröffentlichst.> Auch in der Windowskonsole konnte das nicht in das benötigte Format konvertiert oder passwortgesichert werden
Doch s.o.
1
Ich werd einen Teufel tun und Drittanbietersoftware installieren, um Zertifikate zu konvertieren! Unter Windows 7 war der Export als PKCS#12 formatiertes Zertifikat ausgegraut, also nicht möglich. Übrigens habe ich wie beschrieben ein S/MIME-Zertifikat angefordet, nicht ein SSL-Zertifikat.
Zitat von @139511:
Ich werd einen Teufel tun und Drittanbietersoftware installieren, um Zertifikate zu konvertieren!
Du bringst mich abermals zum Lachen, tut mir leid, zumal die OpenSSL Bibliotheken zu über 90% der Software auf dem Markt genutzt werden.Ich werd einen Teufel tun und Drittanbietersoftware installieren, um Zertifikate zu konvertieren!
Unter Windows 7 war der Export als PKCS#12 formatiertes Zertifikat ausgegraut, also nicht möglich.
Geht auch nur wenn ein private Key für das Zertifikat im CertStore vorhanden und dieser als exportierbar markiert ist.Übrigens habe ich wie beschrieben ein S/MIME-Zertifikat angefordet, nicht ein SSL-Zertifikat.
Spielt dabei keine Rolle. Auch SMIME Zertifikate bestehen aus einem privaten und öffentlichen Teil.Private Key gibt man niemals in fremde Hand und das gilt hier ebenfalls, auch gerade hier!
Nichts für ungut, aber im zweiten Teil des Posts sich so aus dem Fenster zu lehnen ohne entsprechendes Hintergrundwissen und das auch noch öffentlich und dann noch in einem Admin-Forum, halte ich doch für sehr gewagt, genauso wie das Veröffentlichen des Chats.
Deine anmaßenden und im übrigen vollkommen sinnfreien Argumentationsversuche passen ganz gut zu dem Geschäftsgebaren der CertCenter AG ! Selbstverständlich kann ich nicht ein SSL-Zertifikat als S/MIME-Zertifikat verwenden, das wäre das Argument gewesen, welches es zu erkennen und zu verstehen gegolten hätte. Auch stand es an keiner Stelle zur Debatte, den private key aus der Hand gegeben zu haben, oder nicht! Bei SSLplus bekomme ich korrekt formatierte Zertifikate, die ich mir direkt bei der CA abhole, da lasse ich das also nicht von "irgend jemandem generieren" und brauche nichts zu konvertieren. Auf weitere Trollbeiträge werde ich nicht mehr eingehen!
Moin,
ich bin da voll und ganz bei Kollege @139374.
Gruß,
Dani
ich bin da voll und ganz bei Kollege @139374.
Es wurde bei Abholung des Zertifikates noch nicht mal die Erstellung eines Zertifikatpasswortes gefordert, so daß es sich um ein ungesichertes Zertifikat handelte, welches im Falle eines Datenleaks von jedem Hacker/Spammer hätte verwendet werden können.
Dies trifft aber nur zu, wenn du den privaten Schlüssel auch vom Dienstleister hast erzeugen lassen. Anderenfalls kann mit deinem Zertifikat nichts anfangen.Ich werd einen Teufel tun und Drittanbietersoftware installieren, um Zertifikate zu konvertieren!
Es ist nicht Aufgabe des Betriebssystem alle Arten von Zertifikatstypen zu unterstützen bzw. zu konvertieren. Zu mal es meist noch von der 3rd Party Software abhängig ist. Sprich welches Format und Aufbau diese gerne hätte. Dafür kannst du Microsoft nicht den schwarzen Peter zuschrieben.Unter Windows 7 war der Export als PKCS#12 formatiertes Zertifikat ausgegraut, also nicht möglich.
Das geht nur, wenn der private Schlüssel unter Windows als "exportierbar" markiert wurde. Ist das nicht der Fall, kann auch keine PFX-Datei erstellt werden.brigens habe ich wie beschrieben ein S/MIME-Zertifikat angefordet, nicht ein SSL-Zertifikat.
Was ist aus technischer Sicht der Unterschied zwischen S/MIME und SSL-Zertifikate? Ich weiß/kenne keinen.Ein gewisser “Carsten”, der sich als der Vorstand des Unternehmens ausgab, hat sich in dem "Support"-Chat besonders hervorgetan und dann das Zertifikat ohne jede ansatzweise Lösung des Problems storniert, Chatverlauf
Du weißt was Rufschädigung ist? Vorallem Chatverläufe einfach ohne Zustimmung der Beteiligten zu veröffentlichen, kann ein Nachspiel haben (Stichwort DSVGO).Gruß,
Dani
2
@139511: Darf ich fragen, was du beruflich machst?
Ist das was, wo du den Namen "Consultant" im Namen trägst? Ich brauche das hier für meine Statistik...
Ist das was, wo du den Namen "Consultant" im Namen trägst? Ich brauche das hier für meine Statistik...
1
ohne Gruß,
hier ein Auszug aus der Wikipedia:
Sicherheitsrisiko
Für die Nutzung von S/MIME-Zertifikaten zur Verschlüsselung und Signierung wird aufgrund des verwendeten Public-Key-Verschlüsselungsverfahrens ein Schlüsselpaar aus öffentlichem und privatem Schlüssel benötigt. Im Gegensatz zum Zertifikat können und sollten diese beiden Schlüssel unbedingt lokal beim Anwender erzeugt werden.[1] Bei den meisten Zertifizierungsstellen wird dies auch so gehandhabt. Die Schlüsselerzeugung wird dabei im Normalfall durch den verwendeten Browser gestartet; bei Firefox, Opera, Chrome und Safari 6 wird dies durch ein HTML-Formular mit dem Tag <keygen> angestoßen, beim Internet Explorer durch ein ActiveX-Control. In beiden Fällen wird anschließend nur der öffentliche Schlüssel zur Zertifizierungsstelle hochgeladen. Im Rahmen der Zertifizierung wird aus dem öffentlichen Schlüssel ein Zertifikat, das wieder in den Browser geladen und zusammen mit dem privaten Schlüssel im Zertifikatsspeicher abgelegt wird.
Nur wenige Zertifizierungsstellen erzeugen das Schlüsselpaar selbst und übermitteln es dann mit dem generierten Zertifikat an den Anwender. Dadurch ist der Zertifizierungsstelle der private Schlüssel bekannt, was unbedingt im Rahmen der Sicherheit vermieden werden sollte, da der private Schlüssel so in falsche Hände gelangen kann.
Vielleicht hilft´s ja!?
ohne Gruß
kowa
hier ein Auszug aus der Wikipedia:
Sicherheitsrisiko
Für die Nutzung von S/MIME-Zertifikaten zur Verschlüsselung und Signierung wird aufgrund des verwendeten Public-Key-Verschlüsselungsverfahrens ein Schlüsselpaar aus öffentlichem und privatem Schlüssel benötigt. Im Gegensatz zum Zertifikat können und sollten diese beiden Schlüssel unbedingt lokal beim Anwender erzeugt werden.[1] Bei den meisten Zertifizierungsstellen wird dies auch so gehandhabt. Die Schlüsselerzeugung wird dabei im Normalfall durch den verwendeten Browser gestartet; bei Firefox, Opera, Chrome und Safari 6 wird dies durch ein HTML-Formular mit dem Tag <keygen> angestoßen, beim Internet Explorer durch ein ActiveX-Control. In beiden Fällen wird anschließend nur der öffentliche Schlüssel zur Zertifizierungsstelle hochgeladen. Im Rahmen der Zertifizierung wird aus dem öffentlichen Schlüssel ein Zertifikat, das wieder in den Browser geladen und zusammen mit dem privaten Schlüssel im Zertifikatsspeicher abgelegt wird.
Nur wenige Zertifizierungsstellen erzeugen das Schlüsselpaar selbst und übermitteln es dann mit dem generierten Zertifikat an den Anwender. Dadurch ist der Zertifizierungsstelle der private Schlüssel bekannt, was unbedingt im Rahmen der Sicherheit vermieden werden sollte, da der private Schlüssel so in falsche Hände gelangen kann.
Vielleicht hilft´s ja!?
ohne Gruß
kowa
Um hier mal alle Fragen in einem Post zu beantworten:
@Dani: Auf den Kryptographie-technischen Unterschied zwischen S/MIME und SSL-Zertifikaten gehe ich hier nicht ein, allerdings sollte hinlänglich bekannt sein, daß ein „gewöhnliches“ SSL-Zertifikat zur Verifizierung einer Domain, ein S/MIME Zertifikat aber zur Verifizierung einer Email-Adresse dient. Was die Veröffentlichung des Chatverlaufes betrifft, so ist dies rechtlich unbedenklich, solange ich keine vertraulichen Informationen veröffentliche. Die DSVGO zieht hier also gar nicht, auch eine Verletzung der Vertraulichkeit des Wortes nach § 201 StGB ist nicht einschlägig, da kein mündliches Gespräch aufgezeichnet wurde.
@LordGurke: Nein, ich trage nicht den Namen "Consultant“ in meiner Geschäftsbezeichnung. Was ich im Einzelnen beruflich mache, steht hier nicht zur Diskussion, zur Info betreibe ich seit mehreren Jahrzehnten eine Windows-Serverfarm mit Exchange-Server und mehreren hundert Domains.
@KowaKowalski: Wie ich bereits beschrieben habe, habe ich jeweils testweise ein GlobalSign PersonalSign 2 Zertifikat von zwei Resellern geordert. Wie in dem verlinkten Chat ersichtlich, hat hier die CertCenter AG ja auch einen Link mit Anweisungen bereitgestellt, wie die Generierung des privaten Schlüssels zu erfolgen habe bzw. wie dann das gewünschte Format zu generieren wäre. Dies war aber mit dem bei CertCenter erhaltenen Zertifikat nicht möglich, auch war es nicht möglich, das Zertifikat in der Konsole als exportierbar zu markieren etc. Eine zweifache Rückfrage bei GlobalSign hat ergeben, daß die CertCenter AG (als Reseller in meinem Auftrag) schlicht und ergreifend ein falsches Zertifikat geordert hat. Das hätte CertCenter mit GlobalSign klären müssen. Aber anstatt das zu tun, haben sie den Auftrag einfach storniert und auf blöd gemacht.
@Dani: Auf den Kryptographie-technischen Unterschied zwischen S/MIME und SSL-Zertifikaten gehe ich hier nicht ein, allerdings sollte hinlänglich bekannt sein, daß ein „gewöhnliches“ SSL-Zertifikat zur Verifizierung einer Domain, ein S/MIME Zertifikat aber zur Verifizierung einer Email-Adresse dient. Was die Veröffentlichung des Chatverlaufes betrifft, so ist dies rechtlich unbedenklich, solange ich keine vertraulichen Informationen veröffentliche. Die DSVGO zieht hier also gar nicht, auch eine Verletzung der Vertraulichkeit des Wortes nach § 201 StGB ist nicht einschlägig, da kein mündliches Gespräch aufgezeichnet wurde.
@LordGurke: Nein, ich trage nicht den Namen "Consultant“ in meiner Geschäftsbezeichnung. Was ich im Einzelnen beruflich mache, steht hier nicht zur Diskussion, zur Info betreibe ich seit mehreren Jahrzehnten eine Windows-Serverfarm mit Exchange-Server und mehreren hundert Domains.
@KowaKowalski: Wie ich bereits beschrieben habe, habe ich jeweils testweise ein GlobalSign PersonalSign 2 Zertifikat von zwei Resellern geordert. Wie in dem verlinkten Chat ersichtlich, hat hier die CertCenter AG ja auch einen Link mit Anweisungen bereitgestellt, wie die Generierung des privaten Schlüssels zu erfolgen habe bzw. wie dann das gewünschte Format zu generieren wäre. Dies war aber mit dem bei CertCenter erhaltenen Zertifikat nicht möglich, auch war es nicht möglich, das Zertifikat in der Konsole als exportierbar zu markieren etc. Eine zweifache Rückfrage bei GlobalSign hat ergeben, daß die CertCenter AG (als Reseller in meinem Auftrag) schlicht und ergreifend ein falsches Zertifikat geordert hat. Das hätte CertCenter mit GlobalSign klären müssen. Aber anstatt das zu tun, haben sie den Auftrag einfach storniert und auf blöd gemacht.
Weißt du eigentlich, was der Dunning-Kruger-Effekt ist?
Im Ernst: Nach eingehender Lektüre des (m.M.n. illegal veröffentlichten) Chatverlaufs, kann man rein schon an der Verwendung der Begriffe und deiner Frage- und Problemstellungen erkennen, dass du schlichtweg keine Ahnung, bestenfalls Halbwissen über Zertifikate hast.
Alleine die Tatsache, dass du bei einem "PEM"-Dateiformat davon ausgehst, dass das ja kein "MIME-Zertifikat" (sic!) sondern ein SSL-Zertifikat sein müsste, offenbart schon einige handwerkliche Mängel und fehlenden Sachverstand auf deiner Seite. Das sage nicht nur ich, da musst du nur durch diesen Thread gucken.
Mein Tipp, und ich denke ich spreche hier für alle: Depubliziere den Chatverlauf, sieh ein, dass du dir mehr Wissen über Zertifikate aneigenen musst und gib dich der Öffentlichkeit nicht länger als Depp preis. Niemand hier nimmt dich ernst, hast du das bemerkt?
Es mag bei Certcenter nicht alles 100% Optimal sein, das kann gut sein. Aber ohne, dass der Kunde wenigstens weiß was er tut und warum er etwas macht, kann ihm schlicht auch nicht geholfen werden.
Im Ernst: Nach eingehender Lektüre des (m.M.n. illegal veröffentlichten) Chatverlaufs, kann man rein schon an der Verwendung der Begriffe und deiner Frage- und Problemstellungen erkennen, dass du schlichtweg keine Ahnung, bestenfalls Halbwissen über Zertifikate hast.
Alleine die Tatsache, dass du bei einem "PEM"-Dateiformat davon ausgehst, dass das ja kein "MIME-Zertifikat" (sic!) sondern ein SSL-Zertifikat sein müsste, offenbart schon einige handwerkliche Mängel und fehlenden Sachverstand auf deiner Seite. Das sage nicht nur ich, da musst du nur durch diesen Thread gucken.
Mein Tipp, und ich denke ich spreche hier für alle: Depubliziere den Chatverlauf, sieh ein, dass du dir mehr Wissen über Zertifikate aneigenen musst und gib dich der Öffentlichkeit nicht länger als Depp preis. Niemand hier nimmt dich ernst, hast du das bemerkt?
Es mag bei Certcenter nicht alles 100% Optimal sein, das kann gut sein. Aber ohne, dass der Kunde wenigstens weiß was er tut und warum er etwas macht, kann ihm schlicht auch nicht geholfen werden.
Wenn Du nur nicht von Dir auf mich schließen und Dich selber in anmaßender Weise mit Halbwissen profilieren würdest. Dein inhaltsloses Gelaber ist es nicht wert, beantwortet zu werden! Doch für die Nachwelt hier zur Info: Eine .pem Datei ist nicht zwangsläufig ein Email-Zertifikat, sondern kann alle möglichen Arten von X.509-Zertifikaten beinhalten. Zur Info wurde PEM um 1990 entworfen und ist von der Internet Engineering Task Force nur noch als historisch eingestuft.
Guten Abend @all,
Du bist hier erst seit kurzem angemeldet und kippst als erstes einen mageren, windigen Erfahrungsbericht ab. Ansonsten keinerlei weiteren Aktivitäten in irgendeiner Form. Ich frag mich nur warum... sei's drum - Schicht im Schacht für heute.
@LordGurke
Gruß,
Dani
Was die Veröffentlichung des Chatverlaufes betrifft, so ist dies rechtlich unbedenklich, solange ich keine vertraulichen Informationen veröffentliche.
Naja, ein Chat ist m.M. genauso eine Aufzeichnung - eben in Schriftform. Aber ich möchte das nicht beurteilen, da ich kein Anwalt bin. Nichts desto trotz habe ich den Link entfernt.Du bist hier erst seit kurzem angemeldet und kippst als erstes einen mageren, windigen Erfahrungsbericht ab. Ansonsten keinerlei weiteren Aktivitäten in irgendeiner Form. Ich frag mich nur warum... sei's drum - Schicht im Schacht für heute.
@LordGurke
Ist das was, wo du den Namen "Consultant" im Namen trägst? Ich brauche das hier für meine Statistik...
Machst n Strich für mich. Gruß,
Dani
