Metainformationen zur Seite
Übersicht | X-tanken | Menü | Programme | Glossar | Themen | FAQ | Update
X-tanken
Was sind Root-Zertifikate und wofür werden Sie benötigt?
Beschreibung
In X-tanken wird an verschiedenen Stellen im Programm eine Verbindung zu unserem Webserver hergestellt. Diese Verbindungen werden natürlich über https verschlüsselt. Um eine solche Verschlüsselung zu realisieren werden mehrere Zertifikate benötigt, die eine sogenannte Zertifikatskette bilden. Jedes Zertifikat stellt dabei eine Partei da, die an der Validierung der Zertifikate beteiligt ist. Dies sind mindestens die Zertifizierungsstelle (Certificate Authority kurz CA) mit dem Root-Zertifikat und der Webseitenbetreiber dem Zertifikat der Webseite. In einigen Fällen können aber auch vermittelnde Parteien noch dazwischen liegen. Nur wenn jedes dieser Zertifikate über die Zertifikatskette bis zur Zertifizierungsstelle zurück verfolgt und erfolgreich validiert werden kann, kann die Verbindung verschlüsselt erfolgen.
Für den Fall, dass ein Sicherheitsproblem mit der Verschlüsselung entdeckt wird, kann die betroffene Partei die das Problem entdeckt hat, ihr eigenes Zertifikat zurückziehen und damit die Zertifikatskette unterbrechen und für die Verschlüsselung unbrauchbar machen, sodass die Schwachstelle im System nicht weiter ausgenutzt werden kann. In der Regel werden die Zertifikate dann durch neue (vermeintlich sicherere) Zertifikate ersetzt.
Ein solcher Austausch von Zertifikaten findet in der EDV regelmäßig statt. In aller Regel merken Sie dies nicht, da es immer eine Fallback-Lösung gibt, die während des Austauschs die Arbeit übernimmt.
Warum merken Sie dies normalerweise nicht? Nun ein Zertifikat besteht immer aus zwei Teilen. Mit dem einen (öffentlichen) Teil kann verschlüsselt werden mit dem anderen (nicht öffentlichen) Teil kann wieder entschlüsselt werden. Der öffentliche Teil der Root-Zertifikate wird in der Regel mit den Updates Ihres Betriebssystems mit geliefert und automatisch installiert. Sie müssen sich also nicht darum kümmern - vorausgesetzt Ihr Betriebssystem ist auf dem aktuellen Stand.
Fehleridentifikation
Ein Fehler im Bezug auf fehlende Zertifikate kann, abhängig davon, welches System gerade als Client gegenüber dem Webserver auftritt, an unterschiedlichen Stellen entstehen und erfordert dann auch unterschiedliche Vorgehensweise:
Download der Update-Informationen schlägt fehl
Prüfen Sie die Zertifikatskette Ihres Linux-Servers mit dem Befehl:
openssl s_client -connect www.xpointsoftware.de:443 -servername www.xpointsoftware.de -verify 3
Dort ist gut zu sehen wo die Zertifikatskette unterbrochen ist (Ausgabe „certificate has expired“).
Auch der Befehl:
wget https://update.xpointsoftware.de/X-tanken/DOWNLOADTEST
wird Ihnen eine entsprechende Fehlermeldung („Issued certificate has expired“) ausgeben.
Zertifikatsfehlermeldung im Menü von X-tanken
Abhängig davon auf welchem Rechner (Desktop-Rechner oder Terminalservers) Ihr ThinClient (X-oil, X-tanken etc.) läuft, prüfen Sie die Zertifikatskette des Internet Explorers auf dem selben Rechner.
Hierzu reicht es die Seite www.xpointsoftware.de im Internet Explorer zu öffnen. Verwenden Sie zum Prüfen nicht den Firefox, Chrome, Edge, Opera oder einen anderen Browser. Diese können ein anderes Verhalten an den Tag legen bzw. einen eigenen Zertifikatsspeicher verwenden. Alle Zugriffe auf unseren Webserver erfolgen jedoch stets über ein Control des Internet Explorer.
Zertifikatsfehlermeldung auch außerhalb von X-tanken beim Zugriff auf www.xpointsoftware.de
Prüfen Sie die Zertifikatskette Ihrer Firewall.
Bekannt sind unter anderem Probleme mit der Sophos-Firewall.
Lösungsmöglichkeiten
Alle Informationen zu den Zertifikaten sowie die aktuell gültigen Root-Zertifikate finden Sie bei der Zuständigen Zertifizierungsstelle. Welche dies ist, können Sie in der Regel der Fehlerausgabe entnehmen.
Derzeit werden alle Webseiten von Xpoint mit Zertifikaten von Let's Encrypt verschlüsselt. Die zugehörigen Informationen finden Sie hier: https://letsencrypt.org/de/certificates/
Abhängig davon welche der oben genannten Zertifikatsketten unterbrochen sind, können Sie…
- das betroffene Betriebssystem auf den aktuellen Stand bringen, sodass das Betriebssystemupdate die aktuell gültigen Root-Zertifikate installiert oder …
- das fehlende Root-Zertifikat manuell in den Zertifikatsspeicher importieren.
Anleitungen hierzu finden Sie in Abhängigkeit von Ihrem Betriebssystem oder Ihrer Firewall im Internet. Sprechen Sie im Zweifelsfall Ihren Hardware-Betreuer darauf an.
Übersicht | X-tanken | Menü | Programme | Glossar | Themen | FAQ | Update