Mrz
01
2018
Sehr geehrter Swiss SafeLab Kunde
Diese E-Mail betrifft alle Kunden, welche Swiss SafeLab M.ID Suite zusammen mit Swiss SafeLab SMS Providing einsetzen. Falls Sie nur ein Produkt einsetzen, bzw. gar keines, dann können Sie diese E-Mail ignorieren, andernfalls lesen Sie bitte diese E-Mail bis zum Ende aufmerksam durch.
Auf Grund der Wichtigkeit der Angelegenheit erlauben wir uns, die E-Mail an alle Kontakte in unserem System zu senden.
Am Dienstag, 28.02.2018 kursierten diverse Meldungen, dass tausende private keys für die SSL Zertifikate des Trustico Certificate Brokers kompromittiert wurden. Auch Swiss SafeLab GmbH wurde direkt informiert, dass die - für die SMS Gateway eingesetzten Zertifikate - private keys publik sind.
Als Konsequenz müssen solche Zertifikate gemäss den CA Browser Forum Vorgaben innerhalb 24h annulliert werden.
Zum aktuellen Zeitpunkt (01.03.2018 02:40) befinden sich die SSL-Zertifikate von Swiss SafeLab nicht auf den Certificate Revocation Lists (CRL).
Leider kann der Certificate Broker wegen Überlastung nicht kontaktiert werden. Ebenso kann derzeit kein neues Zertifikat beim Broker ausgestellt werden (Order-Webseite nicht erreichbar). Es ist wichtig, dass ein neues Zertifikat bei der gleichen Root CA angefordert wird, da im M.ID Server Keystore das Root CA hinterlegt ist.
Da wir nicht mit 100% Sicherheit wissen, ob unsere Zertifikate betroffen sind und wir derzeit auch beim Broker kein neues Zertifikat ausstellen lassen können, haben wir uns zu folgendem Schritt entschieden:
Am Donnerstag, 01.03.2018 um 08:00 werden wir ausschliesslich auf sms02.swiss-safelab.com ein neues Zertifikat einer anderen CA einspielen (sms01 & sms03.swiss-safelab.com werden nicht modifiziert). Dies hat zur Konsequenz, dass alle M.ID Server ohne das neue erfindliche Root-Zertifikat nicht mehr auf sms02.swiss-safelab.com zugreifen können (SMS-Versand über sms01 und sms03 gewährleistet). Das hierfür erfindliche Root-Zertifikat finden Sie im Anhang dieser E-Mail bzw. kann hier heruntergeladen werden: https://www.swiss-safelab.com/de-de/community/downloadcenter.aspx?Command=Core_Download&EntryId=920 bzw. via HTTP-Protokoll hier: http://sms02.swiss-safelab.com/downloads/DigiCertGlobalRootCA.zip. Eine Anleitung zum Importieren finden Sie in der ZIP-Datei im Anhang. Der Aufwand für den Import dauert nur wenige Minuten.
Sollten am Donnerstag, 01.03.2018 unsere Zertifikate nicht annulliert werden (allfälliger Zeitpunkt unbekannt), so bleibt sms02.swiss-safelab.com nicht erreichbar. Der SMS-Versand ist jedoch über sms01 & sms03.swiss-safelab.com gewährleistet.
Sollten unsere bestehenden Zertifikate jedoch annulliert werden, so können nur jene M.ID Server auf sms02.swiss-safelab.com zugreifen, welche das neue Root-Zertifikat importiert haben. Falls dieser Fall eintrifft, werden wir selbstverständlich das neue Root-Zertifikat auch auf sms01 & sms03.swiss-safelab.com einspielen.
Im Sinne von "no news - good news", wird nur eine neue Information publiziert, falls das neue Zertifikat wirklich eingespielt werden muss. Ansonsten behalten wir den Status Quo für die nächsten 24h bei.
Riskant aber gangbar: Da der Aufwand für den Import nur wenige Minuten dauert (s. Anleitung), können Sie mit dem Import des neuen Zertifikats zuwarten, ob die Zertifikate tatsächlich annulliert werden.
Wenn Sie das Zertifikat einspielen - auch wenn die Zertifikaten nicht annulliert werden, so hat dies keinen Nachteil für Sie: im Gegenteil, Sie erhalten keine Zertifikats-Fehlermeldung bezgl. sms02.swiss-safelab.com.
Da weiterhin die Möglichkeit besteht, dass die private keys zu einem späteren Zeitpunkt publik werden, haben wir uns entschlossen, das neue Zertifikat später und mit genügend Vorlaufzeit für Sie auch auf sms01 & sms03 einzuspielen - sofern wir in den nächsten Stunden nicht bei der bestehenden CA ein neues Zertifikat erstellen können.
Für Fragen stehen wir Ihnen auf den gängigen Wegen zur Verfügung.
Swiss SafeLab GmbH
Neuengasse 20
CH-3011 Bern
Office: +41 31 932 31 86
Fax: +41 31 932 31 57
www.swiss-safelab.com
info@swiss-safelab.com