CA-Update

Die ausstellende Stelle der c-works OFTP2-CA ist seit Sonntag, 13.9.2020 abgelaufen. Der Ersatz wurde seit April 2019 aufgesetzt, welches seit diesem Zeitpunkt Zertifikate erfolgreich ausstellt. Diese neue CA wurde vor grob einem halben Jahr in die Odette-TSL aufgenommen, um sie allen OFTP2-Kommunikationspartnern verfügbar zu machen, die ein zertifziertes OFTP2-System nutzen. Letzten Freitag, den 11.9.2020 wurde die alte CA-Chain aus der Odette-TSL genommen, sodass nur noch die neue CA-Chain in der Odette-TSL enthalten ist.

Trotz Aufnahme in die Odette-TSL ist bei vielen OFTP2-Kommunikationspartnern die neue CA-Chain unbekannt! Sie erkennen diesen Zustand für eingehende Verbindungen im System-Log von OS4X mit der Meldung:

TLS error during connect try from 1.2.3.4: sslv3 alert certificate unknown: SSL alert number 46. The remote party doesn’t trust our own TLS server certificate, they must import the certificate chain of your used TLS certificate.

Bei ausgehenden Verbindungen erhalten Sie folgende Fehlermeldung im Send Log:

TLS error during connect try to 1.2.3.4:6619: sslv3 alert certificate unknown: SSL alert number 46. The remote party doesn’t trust our own TLS server certificate, they must import the certificate chain of your used TLS certificate.

In beiden Fällen müssen Sie den Partner über die neue CA-Chain informieren. Eigentlich sollte die Odette-TSL diese Aufgabe automatisiert übernehmen, daher pochen Sie bitte auf diesen hervorragenden Automatismus, der solche Fälle abdeckt. Wir haben folgende Textvorlagen für deutsche und englischsprachige Partner erstellt, die Sie gerne verwenden können.

 

Für eingehende Verbindungsfehler:

Sehr geehrte Damen und Herren,

wir erkennen derzeit in unseren Systemprotokollen, dass Sie erfolglos versuchen eine OFTP2-Verbindung zu uns aufzubauen. Es könnte mglw. daran liegen, dass Sie die neue CA-Zertifikatskette nicht unterstützen, die seit gestern aktiv ist. Im Normalfall müsste Ihr OFTP2-System diese schon seit Monaten auf Ihrer Seite installiert haben, da die neue CA-Kette via Odette-TSL (https://www.odette.org/TSL/TSL_OFTP2.XML) bekannt gemacht wurde. Falls Sie kein zertifiziertes OFTP2-System nutzen, welches die Odette-TSL berücksichtigt, können Sie die neue Kette auch unter https://cdn.c-works.de/fileadmin/downloads/c-works_oftp2_certificates2.zip manuell herunterladen und installieren. Unsere SSID der Verbindung lautet: …

auf englisch:

Dear Sir or Madam,

We can currently see in our system logs that you are unsuccessfully trying to establish an OFTP2 connection to us. It could possibly because you do not support the new CA certificate chain that has been active since yesterday. Normally, your OFTP2 system should have installed this on your site for months, as the new CA chain was announced via Odette-TSL (https://www.odette.org/TSL/TSL_OFTP2.XML). If you do not use a certified OFTP2 system that takes the Odette TSL into account, you can also download and install the new chain manually from https://cdn.c-works.de/fileadmin/downloads/c-works_oftp2_certificates2.zip. Our SSID is: …

Für ausgehende Verbindungsfehler:

Sehr geehrte Damen und Herren,

wir haben derzeit Probleme, Ihnen Daten per OFTP2 zu senden. Es könnte mglw. daran liegen, dass Sie die neue CA-Zertifikatskette nicht unterstützen, die seit gestern aktiv ist. Im Normalfall müsste Ihr OFTP2-System diese schon seit Monaten auf Ihrer Seite installiert haben, da die neue CA-Kette via Odette-TSL (https://www.odette.org/TSL/TSL_OFTP2.XML) bekannt gemacht wurde. Falls Sie kein zertifiziertes OFTP2-System nutzen, welches die Odette-TSL berücksichtigt, können Sie die neue Kette auch unter https://cdn.c-works.de/fileadmin/downloads/c-works_oftp2_certificates2.zip manuell herunterladen und installieren. Unsere SSID der Verbindung lautet: …

auf englisch:

Dear Sir or Madam,

we are currently having problems sending you data via OFTP2. It could possibly because you do not support the new CA certificate chain that has been active since yesterday. Normally, your OFTP2 system should have installed this on your site for months, as the new CA chain was announced via Odette-TSL (https://www.odette.org/TSL/TSL_OFTP2.XML). If you do not use a certified OFTP2 system that takes the Odette TSL into account, you can also download and install the new chain manually from https://cdn.c-works.de/fileadmin/downloads/c-works_oftp2_certificates2.zip. Our SSID is: …