Ablauf von Online Zertifikaten - Finanzonline Anmeldung

[GeLa2021]

Bei uns laufen einige Online Zertifikate von A-Trust aus. Die neu zu lösenden Zertifikate haben eine neue Seriennummer. Bei Finanzonline können sie als "Neue Sicherheitseinrichtung" registriert werden. Meine Frage: Ist dann noch etwas nötig, zB einen ersten Beleg mit dem neuen Zertifikat über die Beleg Check App evaluieren oder kann man einfach ganz normal mit dem neuen Zertifikat weiter signieren? Soll/ muss das alte Zertifikat bei Finanzonline gelöscht werden?

[WienerroitherM]

Hallo!

Solange sich dadurch an der Kasse selbst nichts verändert und diese lediglich die Belege mit dem neuen Zertifikat signiert reicht es, das Zertifikat als neue Sicherheitseinrichtung in FON zu registrieren. Wenn das alte Zertifikat nicht mehr verwendet wird, sollte es in FinanzOnline außer Betrieb genommen werden. Dazu sei aber allgemein noch erwähnt, dass laut RKSV bereits über FinanzOnline registrierte Zertifikate, deren Gültigkeit abgelaufen ist, weiterverwendet werden dürfen, solange sie noch dem sicherheitstechnischem Stand der Dinge entsprechen. Nur die Neu-Registrierung eines abgelaufenen Zertifikats ist nicht möglich.

[arigelni]

Dh hier sind im Grunde keine Schritte zu setzen (nach Ablauf der fünf Jahre) ? Oder sollten jetzt bei den diversen Kassen alle chips und online-accounts getauscht werden?

[AxelKutschera]

Bei den Karten haben wir den Zeitablauf durch Verstellen der PC-Zeit auf +10 Jahre simuliert und die Karten haben auch mit unserer Middleware korrekt funktioniert. Online wird es vom VDA abhängen, ob die alten Zertifikate weiter online verwendet werden können...

[AxelKutschera]

Lieber @WienerroitherM: Der "sicherheitstechnische Stand der Dinge" wird meines Wissens von der A-Sit definiert. Oder irre ich mich?

[WienerroitherM]

Also der genaue Wortlaut in der RKSV findet sich in § 15 (3): Eine Verwendung des Zertifikates über das Ende seiner Gültigkeit hinaus ist zulässig, sofern der im Zertifikat vorhandene Signaturalgorithmus laut Z 2 der Anlage als sicher gilt. Signaturalgorithmus laut Z 2 der Anlage = ES256 Algorithmus nach dem JWA (JSON Web Algorithmus) Standard.

Die A-Sit hat in Österreich bestimmt eine der besten Expertisen in diesem Gebiet, ich bin mir aber nicht sicher, ob sie Algorithmen per se als sicher oder unsicher definiert. Ich denke, da geht es eher um international anerkannte Sicherheitsstandards wie zB in diesem Dokument definiert: https://www.sogis.eu/documents/cc/crypto/obsolete/SOGIS-Agreed-Cryptographic-Mechanisms-1.1.pdf

[WienerroitherM]

@arigelni Leider kann ich hier das Thema nur aus Sicht der RKSV beleuchten, da ich die Verträge der A-Trust (oder anderer VDAs) nicht kenne und das Ganze aus kryptographischer Sicht auch nicht im Detail einschätzen kann. Vor allem die Sache im Bezug auf die Online Zertifikate müsste man vermutlich direkt mit dem VDA klären. Ich kann daher leider nur im Allgemeinen sagen, dass die RKSV eine Weiterverwendung abgelaufener Zertifikate erlaubt und der SHA256 Algorithmus meines Wissens nach noch als sicher gilt (bin aber wie gesagt keine Kryptographie-Experte). Das bedeutet, dass meiner Meinung nach nichts zu veranlassen ist, solange nur der vordefinierte Gültigkeitszeitraum eines Zertifikats abläuft.

[AxelKutschera]

Hier sind QSEE-Bescheinigungen veröffentlicht: https://www.a-sit.at/bestaetigung-evaluierung/qsee-bescheinigungen/downloads/ zB: Sichere Signaturerstellungseinheit CardOS V5.3 QES, V1.0: https://www.a-sit.at/downloads/508

Diese "Sicherheit" wird von der A-Sit bescheinigt und nicht von den VDA.

Die Konformitätsbewertungen als VDA ist hier ersichtlich: https://www.a-sit.at/konformitaetsbewertung/verzeichnis/

[ErichFreitag]

Wären die Algorithmen nicht mehr gültig = nicht mehr ausreichend sicher

• würde das vermutlich von den Anbietern kommuniziert werden (dann müssten ja Karten, Zugänge, ... aktualisiert werden)
• müsste die RKSV Anlage Ziffer 2 etc. geändert werden?

Nachdem das meiner Kenntnis nach nicht der Fall ist ist wie oben ausgeführt aktuell nichts zu tun.

[WienerroitherM]

Danke für die Ergänzungen! @ErichFreitag Zumindest die Anlage zur RKSV müsste in dem Fall sicher geändert werden, nachdem dort der Algorithmus angeführt ist

[Phoniexk]

@arigelni wenn es um die Online-Zertifikate von A-Trust geht => soweit ich aus den FAQ lesen kann, wird das ursprüngliche Service "RK Online" mit 01.04.2022 komplett eingestellt. Danach ist nur noch RK HSM Basic/Advanced/Enterprise möglich - diese Zertifikate sind ohnehin auf max. 5 Jahre begrenzt. Zertifikate für "RK Online" welche eine Gültigkeit > 01.04.2022 haben, müssen dann auf RK HSM upgraded werden (insofern die Restlaufzeit > 1 Jahr ist).

[arigelni]

@Phoniexk @WienerroitherM vielen Dank für die Information

[peda]

Bei den A-Trust RK Online bzw. RK HSM Produkten ist ja nach 5 Jahren zwingend ein neues Zertifikat auszustellen, da das Signaturservice der A-Trust ebenfalls auf die 5 Jahre limitiert ist.

Kann in diesen Fällen das gleiche DEP einfach mit dem neuen Zertifikat weiter geführt werden oder muss ein neues DEP (mit neuem Startbeleg etc.) begonnen werden?

[ErichFreitag]

Das DEP kann weitergeführt werden.

[argetherapie]

@Phoniexk: Da die a-trust faq bezüglich besagter Einstellung des RK Online Services und eventueller Ungültigkeit nach dem 01. April 2022 für uns nicht klar war, haben wir heute ein e-mail Anfrage an a-trust gerichtet: "Wenn beispielsweise ein a.sign RK Online Zertifikat am 07.11.2019 16:25:00 ausgestellt wurde, dann ist es bis 07.11.2024 16:25:00 verwendbar. Ist das richtig?" Die Antwort: "Ja, das ist korrekt." a.sign RK Online Zertifikate mit Gültigkeit nach dem 01. April 2022 brauchen kein (kostenpflichtiges) Upgrade... wäre auch seltsam, da weder im Kauf- noch im Partnervertrag davon etwas zu lesen ist.

[Phoniexk]

Ja ich hatte jetzt auch bereits eine Anfrage gestellt und ebenfalls die gleiche Antwort erhalten. Es hieß die FAQ werden noch entsprechend konkretisiert, weshalb ich es hier noch nicht gepostet hatte und darauf warten wollte.

Als einzige relevante Änderung hat man mir die Umstellung auf eine neue URL für die API mitgeteilt (geplant für Feburar, alle Partner erhalten noch eine gesonderte Information).

[Phoniexk]

Die Antwort: "Ja, das ist korrekt." a.sign RK Online Zertifikate mit Gültigkeit nach dem 01. April 2022 brauchen kein (kostenpflichtiges) Upgrade... wäre auch seltsam, da weder im Kauf- noch im Partnervertrag davon etwas zu lesen ist.

Weil ich nochmal bezüglich der neuen URL in den FAQ's nachschauen wollte, habe ich dabei nun folgenden aktualisierten FAQ-Eintrag gefunden: https://www.a-trust.at/de/Support/faq/#42

RK Online wird nicht mehr weiter unterstützt - es ist ein Umstieg auf RK HSM Basic/Advanced notwendig. Wir empfehlen hierfür das RK Online Sorglos Paket

Irgendwie deckt sich diese neue Info nicht jenen aus den E-Mail-Antworten...

[FriNagy]

Hallo,

Die neue Preise beim A.Trust von ON-Line Signaturen sind schon massiv erhöht, ein Premium kostet jetzt über 1000 Euro (für 5 Jahre) Sollten wir auf Karten-Signatur umstellen? was meint ihr?

[theshadowtwentyseven]

Es wird uns wohl nichts anderes bleiben. ~200 € je Jahr rein für das Zertifikat bedeutet 16.6 € monatlich. Das zahlen unsere Kunden nicht.

[Phoniexk]

@theshadowtwentyseven Ja die Preise sind deutlich höher als es früher bei RK Online war, aber ist dann wirklich "Premium" notwendig, wenn 16€ monatlich das Budget der Kunden übersteigt? Haben die dann tatsächlich mehr als 10.000 / 30.000 Signaturen im Jahr?

Optional könnte man auch mehrmals kleinere Pakete nehmen, z.B. 40.000 Signaturen mit 2 Zertifikate => 1x Advanced + 1x Basic und wechselt dann (automatisch) aufs nächste Zertifikat, wenn das Maximum überschritten wurde. Monatlich noch immer günstiger als Premium.

[AxelKutschera]

Bei uns beginnen die Preise ab EUR 24,- pro Jahr (mit fair use 10Mio Signaturen). https://www.fiskaltrust.at/products/product_01/#1487465448174-9eb76fa9-07cb

[FriNagy]

also ich habe jetzt die alte A-Trust Rechnung ( W17/005084 am 27.02.2017 ) ausgesucht, damals habe ich für a.sign RK ONLINE in zehnerpack 50 Euro brutto gezahlt, und die haben wir auch seit 5 Jahren verwendet.

es sollte jetzt aber f. die nächste 5 Jahre über 10.000 Euro kosten? da stimmt was nicht

[theshadowtwentyseven]

Bei uns beginnen die Preise ab EUR 24,- pro Jahr (mit fair use 10Mio Signaturen). https://www.fiskaltrust.at/products/product_01/#1487465448174-9eb76fa9-07cb

Das ist ein angemessener Preis. Die Frage ist, wieviel Aufwand die Umstellung kostet - den Kunden werden wenig Interesse haben hierfür aufzukommen. Schauen wir uns auf jeden Fall an!

Ich denke, dass A-Trust das Produkt auslaufen möchte. Anders machen diese extremen Preissteigerungen keinen Sinn.

[Phoniexk]

@FriNagy und @theshadowtwentyseven: Ich will hier A-Trust keinesfalls verteidigen, mir wäre es auch lieber die alten Preise wären noch verfügbar. Aber bezüglich:

da stimmt was nicht

Ich denke, dass A-Trust das Produkt auslaufen möchte. Anders machen diese extremen Preissteigerungen keinen Sinn.

Der Erwerb von neuem RK Online Guthaben wurde ja bereits nach wenigen Monaten eingestellt (01.07.2017) - seit ca. 4,5 Jahren kann nur noch RK HSM Guthaben gekauft werden. Das wurde damals kurz nach dem Start der RKSV aber auch kommuniziert, dass RK Online für max. 20 Signaturen pro Tag pro Zertifikat ausgelegt war. Deshalb wurde RK Online relativ bald durch RK HSM ersetzt (was den Verkauf von neuem Guthaben betrifft).

Was ich damit sagen will > es ist jetzt keine kurzfristige Preiserhöhung, sondern war 4,5 Jahre absehbar, dass heuer für die Neuausstellung bei bestehenden Kunden deutliche Preiserhöhungen entstehen werden ;) Alle Hersteller die nach Juli 2017 neues Guthaben kaufen musste, leben bereits mit den neuen Preisen.

Nachdem es trotz der Erhöhung seit 4,5 Jahren weiterläuft und man scheinbar auch "Sorglospakete" anbieten will, glaube ich eher nicht, dass man RK HSM auslaufen lassen möchte.

[AxelKutschera]

Bei uns beginnen die Preise ab EUR 24,- pro Jahr (mit fair use 10Mio Signaturen). https://www.fiskaltrust.at/products/product_01/#1487465448174-9eb76fa9-07cb

Das ist ein angemessener Preis. Die Frage ist, wieviel Aufwand die Umstellung kostet - den Kunden werden wenig Interesse haben hierfür aufzukommen. Schauen wir uns auf jeden Fall an!

Ich denke, dass A-Trust das Produkt auslaufen möchte. Anders machen diese extremen Preissteigerungen keinen Sinn.

Ich bin gerne unter axel.kutschera@fiskaltrust.at erreichbar.

[ckvsoft]

Bei uns beginnen die Preise ab EUR 24,- pro Jahr (mit fair use 10Mio Signaturen). https://www.fiskaltrust.at/products/product_01/#1487465448174-9eb76fa9-07cb

Hallo Gibt es dafür Unterlagen wie der Zugriff abläuft (1:1 wie bei atrust) und gibt es auch einen Testzugang? lg Chris

[AxelKutschera]

Bei uns beginnen die Preise ab EUR 24,- pro Jahr (mit fair use 10Mio Signaturen). https://www.fiskaltrust.at/products/product_01/#1487465448174-9eb76fa9-07cb

Hallo Gibt es dafür Unterlagen wie der Zugriff abläuft (1:1 wie bei atrust) und gibt es auch einen Testzugang? lg Chris

Hallo, der Startpunkt der Doku zur (lizenzkostenfreien) Middleware ist hier: https://docs.fiskaltrust.cloud/ (Das ist eine Darstellung diverser Repos aus https://github.com/fiskaltrust/) Testzugänge kann man sich selbst in unserer Sandbox anlegen. Zum leichten Einstieg sende ich gerne eine Erstinfo oder wir treffen uns in einem Online-Meeting. LG Axel

[FriNagy]

@AxelKutschera

in der Beschreibung steht bei euch:

"Das Produkt ist für ein gesamtes Unternehmen (eine UID-Nummer, Steuernummer oder GLN) und nicht pro Kasse zu verwenden"

wir haben aber einige Kunden wo 2-3 Kassenplätze registriert sind,
(mit gleichen UID zwar aber einzelne RK-online Konten mit eigenen zertifikatsseriennummer)

Danke

[Scaenicus]

@FriNagy

• Ein Zertifikat ist auf das Unternehmen (eine UID-Nummer, Steuernummer oder GLN) gebunden.
• Ein Unternehmen kann eines, oder mehrere Zertifikate haben (aber nur eines ist notwendig, egal wie viele Kassen man hat).
• Jedes Zertifikat kann in einer oder mehreren Registrierkassen verwendet werden.
• Beim Anmelden der Registrierkasse in Finanzonline muss man diese Infos kombinieren (welches Zertifikat, welcher Schlüssel, etc.)
  • Ob man mehrere Registrierkassen-Nutzer in Finanzonline oder nur einen hat ist in dem Fall egal, weil die Registrierkassen-Nutzer tatsächlich eingeschränkte Unteraccounts vom Hauptnutzer sind, aber immer mit dem Hauptnutzer arbeiten. -- Aber man nöchte halt net der Registrierkasse die Zugangsdaten zu den Steuerdaten geben, sondern eben nur zur Kassenanlage / Belegsprüfung / etc.
  • Wichtig ist, dass beim Anlegen der Kassa das richtige Zertifikat benannt wird.

[AxelKutschera]

@FriNagy: Die Erläuterung von @Scaenicus ist vollkommen richtig. Danke @Scaenicus. Daher können die Online-Signatur-Produkte bei uns vom gesamten Unternehmen österreichweit verwendet werden. Wir definieren die Produkte auch nicht anhand der Signaturanzahl pro Kasse (fair-use 10Mio/Jahr) sondern anhand der (österreichweiten) Signaturen pro Sekunde.

[FriNagy]

@Scaenicus vielen Dank für die Erläuterung  👍  gut zu wissen  wir haben bis jetzt pro Kassa ein Zertifikat gekauft und  installiert, und leider gerade heute bei A-Trust nachbestellt... (zwar nur  a.sign Basic) 

Ich schau mal bei fiskaltrust auch nach ...

[FriNagy]

@AxelKutschera

ich habe mich bei fiskaltrust registriert, im Webshop finde ich aber keine online produkte (ausser die Meldungen an FON) nur signature Card oder Smart Card produkte

was mache ich falsch?

[AxelKutschera]

@AxelKutschera

ich habe mich bei fiskaltrust registriert, im Webshop finde ich aber keine online produkte (ausser die Meldungen an FON) nur signature Card oder Smart Card produkte

was mache ich falsch?

Hallo, man kann alles auch in der portal-Sandbox.fiskaltrust.at (kostenfrei) kaufen und testen. Man muss die richtige Rolle (als KassenHändler oder KassenBetreiber) abgeschlossen haben. Bitte eine Mail an axel.kutschera@fiskaltrust.de schreiben, dann helfe ich gerne weiter. :-)