Open Thomas233 opened 7 years ago
goosefraba
commented
7 years ago Same here... Wir verwenden nodeJs und erhalten seit gestern auch Zertifkat-Fehler. Also strictSSL check ausschalten ist keine Option - da brauch ich kein Zertifikat mehr!
Was geht da ab?!
Thomas233
commented
7 years ago Geht es aktuell wieder? Bitte um Info sobald es wieder geht (kann aktuell nicht testen).
ckvsoft
commented
7 years ago Die Atrust hat schon vor einigen Wochen eine Umstellung bekannt gegeben. Evil. Hat es ja damit zu tun.
goosefraba
commented
7 years ago Achso? Wo / wie hat sie das bekannt gegeben? Bei einem Workshop meinte A-Trust sie informieren die Leute per E-Mail je Zertifikat wenn sich etwas ändert.
Phoniexk
commented
7 years ago Seltsam bei uns läuft alles ohne Fehlermeldung :-/
@goosefraba: ckvsoft meint wohl das letzte Partnermail von Herrn Moser
Allerdings tritt laut Mail die Umstellung erst mit 30. Juni in Kraft
[....] aufgrund der stetigen Weiterentwicklungen in der Kryptographie-Welt verändern sich auch die Anforderungen unter anderem an Authentifizierungsdienste. Empfehlungen des BSI, CERT und der österreichischen Aufsichtsstelle sehen vor, TLS1.0 zu deaktivieren. A-Trust wird dies mit 30. Juni 2017 durchführen. Damit sichergestellt werden kann, dass es zu keinen Problemen in Ihrem täglichen Betrieb kommt, bitte die folgenden Punkte beachten. Da diese Änderung bereits Ende 2016 am Testsystem durchgeführt wurde, sollten sich hier keine Änderungen ergeben, wenn Ihr System gegen das Testsystem entwickelt wurde. Wer ist betroffen: RK Online: Sowohl für die Nutzung als auch die Aktivierung muss die eingesetzte Client Bibliothek TLS 1.1 oder neuer unterstützen. RK Chip: hier werden für die Aktivierung der Karte die Betriebssystem Funktionen verwendet, nutzen Sie also für die Aktivierung ein Betriebssystem ab Windows 7 oder eine Linux Distribution. Sollten Fragen auftreten, stehen wir gerne, wie im Partnervertrag vereinbart unter rk-support@a-trust.at zur Verfügung.
pgaubatz
commented
7 years ago Das Problem war, dass A-Trust nicht die gesamte Certificate Chain mitgeliefert hat:
$ openssl s_client -showcerts -connect www.a-trust.at:443 -servername www.a-trust.at
CONNECTED(00000003)
depth=0 C = AT, ST = \C3\96sterreich, L = Wien, O = A-Trust, CN = www.a-trust.at
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = AT, ST = \C3\96sterreich, L = Wien, O = A-Trust, CN = www.a-trust.at
verify error:num=27:certificate not trusted
verify return:1
depth=0 C = AT, ST = \C3\96sterreich, L = Wien, O = A-Trust, CN = www.a-trust.at
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/C=AT/ST=\xC3\x96sterreich/L=Wien/O=A-Trust/CN=www.a-trust.at
i:/C=US/O=DigiCert Inc/CN=DigiCert SHA2 Secure Server CA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/C=AT/ST=\xC3\x96sterreich/L=Wien/O=A-Trust/CN=www.a-trust.at
issuer=/C=US/O=DigiCert Inc/CN=DigiCert SHA2 Secure Server CA
---
No client certificate CA names sent
---
SSL handshake has read 1915 bytes and written 562 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-SHA384
Session-ID: D81B0000006E08981548187D58BD2D6957C4EB374BBADC94F9075D4D029A6F0C
Session-ID-ctx:
Master-Key: FD7C5EE6897DC48E4D784F56D8CD669A99EC5AD88FFC324505849EAAD247EBAFF81DF0F03B979EF7E9E30BFB6FD6931D
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1496775442
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---Mittlerweile scheinen sie dieses Konfigurationsproblem aber schon behoben zu haben:
$ openssl s_client -showcerts -connect www.a-trust.at:443 -servername www.a-trust.at
CONNECTED(00000003)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert SHA2 Secure Server CA
verify return:1
depth=0 C = AT, ST = \C3\96sterreich, L = Wien, O = A-Trust, CN = www.a-trust.at
verify return:1
---
Certificate chain
0 s:/C=AT/ST=\xC3\x96sterreich/L=Wien/O=A-Trust/CN=www.a-trust.at
i:/C=US/O=DigiCert Inc/CN=DigiCert SHA2 Secure Server CA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
1 s:/C=US/O=DigiCert Inc/CN=DigiCert SHA2 Secure Server CA
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
-----BEGIN CERTIFICATE-----
MIIElDCCA3ygAwIBAgIQAf2j627KdciIQ4tyS8+8kTANBgkqhkiG9w0BAQsFADBh
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3
d3cuZGlnaWNlcnQuY29tMSAwHgYDVQQDExdEaWdpQ2VydCBHbG9iYWwgUm9vdCBD
QTAeFw0xMzAzMDgxMjAwMDBaFw0yMzAzMDgxMjAwMDBaME0xCzAJBgNVBAYTAlVT
MRUwEwYDVQQKEwxEaWdpQ2VydCBJbmMxJzAlBgNVBAMTHkRpZ2lDZXJ0IFNIQTIg
U2VjdXJlIFNlcnZlciBDQTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB
ANyuWJBNwcQwFZA1W248ghX1LFy949v/cUP6ZCWA1O4Yok3wZtAKc24RmDYXZK83
nf36QYSvx6+M/hpzTc8zl5CilodTgyu5pnVILR1WN3vaMTIa16yrBvSqXUu3R0bd
KpPDkC55gIDvEwRqFDu1m5K+wgdlTvza/P96rtxcflUxDOg5B6TXvi/TC2rSsd9f
/ld0Uzs1gN2ujkSYs58O09rg1/RrKatEp0tYhG2SS4HD2nOLEpdIkARFdRrdNzGX
kujNVA075ME/OV4uuPNcfhCOhkEAjUVmR7ChZc6gqikJTvOX6+guqw9ypzAO+sf0
/RR3w6RbKFfCs/mC/bdFWJsCAwEAAaOCAVowggFWMBIGA1UdEwEB/wQIMAYBAf8C
AQAwDgYDVR0PAQH/BAQDAgGGMDQGCCsGAQUFBwEBBCgwJjAkBggrBgEFBQcwAYYY
aHR0cDovL29jc3AuZGlnaWNlcnQuY29tMHsGA1UdHwR0MHIwN6A1oDOGMWh0dHA6
Ly9jcmwzLmRpZ2ljZXJ0LmNvbS9EaWdpQ2VydEdsb2JhbFJvb3RDQS5jcmwwN6A1
oDOGMWh0dHA6Ly9jcmw0LmRpZ2ljZXJ0LmNvbS9EaWdpQ2VydEdsb2JhbFJvb3RD
QS5jcmwwPQYDVR0gBDYwNDAyBgRVHSAAMCowKAYIKwYBBQUHAgEWHGh0dHBzOi8v
d3d3LmRpZ2ljZXJ0LmNvbS9DUFMwHQYDVR0OBBYEFA+AYRyCMWHVLyjnjUY4tCzh
xtniMB8GA1UdIwQYMBaAFAPeUDVW0Uy7ZvCj4hsbw5eyPdFVMA0GCSqGSIb3DQEB
CwUAA4IBAQAjPt9L0jFCpbZ+QlwaRMxp0Wi0XUvgBCFsS+JtzLHgl4+mUwnNqipl
5TlPHoOlblyYoiQm5vuh7ZPHLgLGTUq/sELfeNqzqPlt/yGFUzZgTHbO7Djc1lGA
8MXW5dRNJ2Srm8c+cftIl7gzbckTB+6WohsYFfZcTEDts8Ls/3HB40f/1LkAtDdC
2iDJ6m6K7hQGrn2iWZiIqBtvLfTyyRRfJs8sjX7tN8Cp1Tm5gr8ZDOo0rwAhaPit
c+LJMto4JQtV05od8GiG7S5BNO98pVAdvzr508EIDObtHopYJeS4d60tbvVS3bR0
j6tJLp07kzQoH3jOlOrHvdPJbRzeXDLz
-----END CERTIFICATE-----
---
Server certificate
subject=/C=AT/ST=\xC3\x96sterreich/L=Wien/O=A-Trust/CN=www.a-trust.at
issuer=/C=US/O=DigiCert Inc/CN=DigiCert SHA2 Secure Server CA
---
No client certificate CA names sent
---
SSL handshake has read 3094 bytes and written 562 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-SHA384
Session-ID: 3E4700001583BE820BEE2303132D11E43450AB0A11B0C78DB51A95995268E5E0
Session-ID-ctx:
Master-Key: F738A4AE9314B5976165636880D1A5CD23705C08AB5D20BDDAC4F1F8471F4A5CFF7AE48C317BAB79FFAD387C1848D5E1
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1496821906
Timeout : 300 (sec)
Verify return code: 0 (ok)
---Danke für die Analyse! Ok die Partner-Email haben wir als Partner anscheinend nicht erhalten :)
Thomas233
commented
7 years ago Danke, funktioniert auch hier wieder. Partner-Mail hab aber auch ich nicht bekommen.
PHP >= 5.7 und OpenSSL Libraries in halbwegs aktueller Version sollten TLS > v1.1 unterstützen oder ?
Scaenicus
commented
7 years ago TLS 1.1 was defined in RFC 4346 in April 2006. TLS 1.2 was defined in RFC 5246 in August 2008. https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.2
Jooo... sollte dabei sein ;-)
Phoniexk
commented
7 years ago Wie in der Info steht: Wenn Sie Ihr Kassensystem ab Jänner 2017 gegen das A-Trust-Testsystem getestet haben, dann sollte es keine Probleme geben. Einfach nochmal probieren, ob Sie im Testsystem einen Login/Signatur machen können.
Hallo,
ich bekomme seit heute folgende Fehler wenn ich RK Online via PHP aufrufe:
Vorher ist es jetzt seit 01.04. problemlos gelaufen.
Am Server bzw. an PHP gab es überhaupt keine Umstellungen.
Gab es bei A-Trust irgendeine Umstellung oder ist ist irgendetwas offline ?
Danke!