Beim Blick in meinen Windows-Zertifikatspeicher bin ich jedesmal irritiert. Heute habe ich einmal durchgezählt, wieviele "Vertrauenswürdige Stammzertifizierungsstellen" DATEV hat. Ich bin auf 84 Einträge gekommen (in Worten: vierundachtzig).
Zum Vergleich: große internationale Zertifikatsanbieter kommen im Lauf der Jahre auf zwei oder drei dieser Einträge. Technische Änderungen machen manchmal neue Stammzertifikate nötig, etwa der Umstieg von SHA-1 auf SHA-256.
Jetzt frage ich mich: Hat die DATEV das Prinzip der Zertifikatsinfrastruktur nach dem X.500- bzw. X.509-ITU-Standard vielleicht nicht verstanden? Es lautet vereinfacht: Es gibt EINE Stammzertifizierungsstelle, die untergeordnete Zertifikate signiert (Zwischenzertifizierungsstellen oder direkt Anwendungszertifikate), und die allein mit Vertrauen ausgestattet werden muß.
Es reicht nach diesem Standard, wenn die DATEV ein einziges Stammzertifikat benutzt, das alle anderen Zertifikate signiert (oder auch deren durch Signatur ausgedrücktes Vertrauen widerruft).
Dieser Standard ist nicht dafür gedacht, 84 eigene Stammzertifizierungsstellen in Windows einzunisten. Wer soll so ein Zertifikat im Fall der Korruption widerrufen? Wer soll den Überblick behalten?
Durch diese schlechte Angewohnheit kommt es auch dazu, daß die Mails, die DATEV mit eigenen Zertifikaten signiert, immer wieder als falsch unterschrieben angezeigt werden, obwohl der Mailclient einige der Stammzertifikate kennt. Leider kennt er das entscheidende der 84 offenbar nicht.
Dazu würde mich wirklich einmal eine technisch fundierte Auskunft von DATEV interessieren.
Hier einmal ein Screenshot aus meinem Windows-Zertifikatspeicher (alle passen gar nicht drauf):
Gelöst! Gehe zu Lösung.
Zur DATEV Verteidigung: Sortiere das mal nach Datum. Da sind bestimmt etliche schon abgelaufen. Im Screenshot sind welche aus 2017 zu sehen. Ob man die gleich ganz löschen kann, oder ob DATEV dann 💣, kann ich nicht sagen. Aber wenn das Zertifikat selbst abgelaufen ist, kann man damit ja nicht mehr viel anfangen?
@Steuererklärer schrieb:
Durch diese schlechte Angewohnheit kommt es auch dazu, daß die Mails, die DATEV mit eigenen Zertifikaten signiert, immer wieder als falsch unterschrieben angezeigt werden, obwohl der Mailclient einige der Stammzertifikate kennt.
Jetzt wieder Gewohntes dazu: Das ist nicht mal nur ein Problem bei uns Genossen. Die DATEV selbst hat Probleme damit. In meiner alten Kanzlei dachte ich auch, ich signiere schön jede E-Mail, damit man verschlüsseln kann, wer möchte und damit die E-Mail auf "Echtheit" geprüft werden kann; dazu also schön die SmartCard gesteckt und das Zertifikat davon genutzt. Leider sah man im Verlauf der E-Mail, weil DATEV als "nur-Text" antwortet, dass im Betreff der E-Mail stand: *Signatur korrekt, Fehler bei der Überprüfung* 😂 Alles klar. Die DATEV kennt also auch hier die eigenen Zertifikate der mIDentities nicht so ganz? Ich hatte nachgefragt, aber sinngemäß als Antwort hatte ich abgespeichert: Kann schon mal passen. DATEV weiß selbst nicht warum. Das Zertifikat war OK und der mIDentity auch zu 100% in Ordnung.
Da sind bestimmt etliche schon abgelaufen. Im Screenshot sind welche aus 2017 zu sehen. Ob man die gleich ganz löschen kann, oder ob DATEV dann , kann ich nicht sagen
Wer sollte die löschen? Ich? Mein Finanzamt? 😂
Mein Vorschlag: DATEV, mit dem nächsten Update.
Die DATEV kennt also auch hier die eigenen Zertifikate der mIDentities nicht so ganz
Wer soll auch bei 84 Stammzertifikaten den Überblick behalten? Da sind Fehler im System angelegt.
auf Rückfrage habe ich ein längeres internes Dokument erhalten, welches sich genau mit diesem Thema befasst. Ich habe da jetzt bestimmt nicht alles bis ins kleinste Detail verstanden, aber ich versuche Mal als Beispiel ein paar Stichpunkte zu nennen.
Generell kann ich aber aufgrund des Dokuments zu diesem Beitrag sagen: Ja, DATEV weiß was eine Zertifikatshierarchie ist und wie eine Muster-PKI in der Theorie aussieht. In der Praxis ist das mal wieder alles nicht so einfach:
So vervielfacht sich die Anzahl der Root-Zertifikate schnell und das waren jetzt nur ein paar Beispiele. Ich werde jetzt mit den nur angelesenen Informationen nicht in eine tiefere Diskussion einsteigen können. Ich hoffe aber ich konnte vermitteln, dass es bei DATEV Personen gibt, die sich sehr genau mit dem Thema befassen und es bewusst so gelöst wurde / werden musste.
Warum löschen wir die abgelaufenen Root-Zertifikate nicht? Nach erster Einschätzung waren zumindest manche der abgelaufenen Zertifikate in der Vergangenheit noch nötig, aber inzwischen bis auf eventuell sehr wenige Ausnahmen nicht mehr. Es wird daher jetzt geprüft, ob die abgelaufenen Zertifikate zukünftig automatisch gelöscht werden können.
@Andreas_Bär schrieb:
DATEV richtet sich nach den BSI-Empfehlungen. Das BSI beurteilt die Sicherheit aktueller Verfahren für die nächsten 7 Jahre.
Mein Vertrauen ins BSI ist nachhaltig verloren: Abberufener BSI-Chef: Schönbohm wehrt sich gegen Arbeitsverbot
Ob man solch einer Behörde noch vertrauen kann, darf, sollte und muss - ich stelle mir Fragen. DATEV auch? Oder ist egal, dass Russland und der FSB und Co. Verbindungen / Kontakte zum BSI haben? 🤔 Was das ZDF magazin royale aufgedeckt hat ...
Aber wenn unsere Politiker nicht mal die Abkürzung von BSI genau kennen - Deutschland 🇩🇪 am IT-Abgrund.
@Andreas_Bär schrieb:
Es wird daher jetzt geprüft, ob die abgelaufenen Zertifikate zukünftig automatisch gelöscht werden können.
Jetzt erst? Nachdem wir in der Community das Ganze auf den Tisch gebracht haben? OK.
@Andreas_Bär: Und in der Cloud kann man das dann ja alles anders machen, oder? 😉
@metalposaunist schrieb:@Andreas_Bär schrieb:
DATEV richtet sich nach den BSI-Empfehlungen. Das BSI beurteilt die Sicherheit aktueller Verfahren für die nächsten 7 Jahre.
Mein Vertrauen ins BSI ist nachhaltig verloren: Abberufener BSI-Chef: Schönbohm wehrt sich gegen Arbeitsverbot
Ob man solch einer Behörde noch vertrauen kann, darf, sollte und muss - ich stelle mir Fragen. DATEV auch? Oder ist egal, dass Russland und der FSB und Co. Verbindungen / Kontakte zum BSI haben? 🤔 Was das ZDF magazin royale aufgedeckt hat ...
Das BSI erfindet ja kryptographische Algorithmen nicht selbst. Und sollten jetzt Vorgaben kommen, an denen Zweifel bestehen ("SHA-1 ist völlig ausreichend"), werden wir da nicht blind folgen 😄
@Andreas_Bär schrieb:
Es wird daher jetzt geprüft, ob die abgelaufenen Zertifikate zukünftig automatisch gelöscht werden können.
Jetzt erst? Nachdem wir in der Community das Ganze auf den Tisch gebracht haben? OK.
Ja, jetzt erst. Aber das hört sich jetzt so an als wurde hier ein großes Problem aufgedeckt. Eigentlich ist es ja nur ein kosmetisches Problem und das noch nicht mal wirklich an der Oberfläche. Und wenn man ehrlich ist fallen viele Dinge erst auf, weil es irgendwo ein Problem gibt.
@Andreas_Bär: Und in der Cloud kann man das dann ja alles anders machen, oder? 😉
Naja, wenn es mit der geliebten SmartCard in die Cloud geht nicht wirklich 😅
Aber bei einem SmartLogin oder dem DATEV-Konto brauchts lokal jedenfalls keine DATEV-Zertifikate.
Vielen Dank jedenfalls für die ausführliche Antwort. BSI-Empfehlungen zu folgen ist sicher sinnvoll, da geht es sicher auch um Haftungsfragen.
Aber 84 Stammzertifikate als "kosmetisches Problem" zu bezeichnen, kommt auch nicht hin. Komplexität produziert immer Fehlerquellen. Wenn sich das auf 10-20 Stammzertifikate reduzieren ließe, wäre schon etwas gewonnen.
Und noch etwas: Wenn es genau ein Herausgeberzertifikat für die E-Mail-Schlüssel geben würde, könnte man sich mit diesem einen Zertifikat sicher relativ preisgünstig bei den Herstellern von Outlook, Thunderbird etc. einkaufen, so daß die mit der Smartcard signierten Mails überall akzeptiert werden. Das wäre mal ein echter Fortschritt.
dass Russland und der FSB und Co. Verbindungen / Kontakte zum BSI haben?
Was das ZDF magazin royale aufgedeckt hat ...
Das ZDF magazin royale hat gar nichts aufgedeckt. Der Moderator dieses Magazins ist ein Wichtigtuer und Schreihals, der einen Riesen-Bohei um Belanglosigkeiten veranstaltet. Für Frau Faeser kam das gerade recht. Herr Schönbohm hatte schließlich was gegen die Vorratsdatenspeicherung und auch sonst einen eigenen Kopf. So einen so elegant wegzubekommen, dafür kann sie sich jetzt beim ZDF bedanken.
Schon mal ins Impressum geschaut? Impressum - Business Insider
Ein Unternehmen der Axel Springer SE
Fällt was auf? 😉
Pispers Wem gehören die Medien - YouTube sehr zu empfehlen.
Zugegeben: in erster Linie habe ich auf den Inhalt geschaut. An dem Stand heute offenbar objektiv alles stimmt. Wobei: halten Sie diesen ZDF-Spaßvogel generell für glaubwürdiger als den Axel-Springer-Verlag?
Das Youtube-Video eines anderen (inzwischen verrenteten) Spaßvogels als Recherchequelle anzugeben, halte ich auch für grenzwertig. Ich argumentiere ja auch nicht mit den Teletubbies.
@Steuererklärer schrieb:
Wobei: halten Sie diesen ZDF-Spaßvogel generell für glaubwürdiger als den Axel-Springer-Verlag?
Ja? Für mich sind der Axel Springer Verlag und die Bertelsmann Stiftung Spaßvögel. Siehe YouTube Video von Volker Pispers. Oder ist der auch ein Spaßvogel? 🤔 Unterschätzen Sie niemals die manipulierende Macht der Zeitungen.
@Steuererklärer schrieb:
An dem Stand heute offenbar objektiv alles stimmt.
Wer entscheidet über Sub- und Objektivität 🤔? Für mich sind das ZDF magazin royale und weitere Sendungen des öffentlich Rechtlichen objektiv. Aber auch nur solange, bis dort nicht was gefunden wird, wie beim RBB.
Lügenpresse? Willkommen im Internet. Jeder darf alles sagen. Ob Wahrheit oder nicht. Im Grunde stecken sicherlich sehr viele im "Sumpf" - aber so ein Systemwechsel dauert und solange es Geld gibt und man sich alles dafür kaufen kann, wird sich nur schwer was ändern.
Ja, wer entscheidet über Objektivität? 😜
Und wie schreibt man öffentlich-rechtlich? (Eigentlich: öffentlichrechtlich - als Abgrenzung zu privatrechtlich)
Es ist soziologisch interessant. In jedem Forum gibt es diesen einen Platzhirsch, der irgendwie meint, sein Revier verteidigen zu müssen. Statt in Themen, zu denen er nichts beizutragen hat, einfach mal nichts beizutragen.
Ich bin raus hier. Schönes Wochenende.