Dirk-HH-83 14 Geschrieben 19. Dezember 2019 Melden Teilen Geschrieben 19. Dezember 2019 Hallo, wenn der Signaturhashalgorithmus bei einem selbstsignierten Exchange 2013 IIS Zertiffikat von SHA1 und auf SHA256 geändert wird ist bei den Smartphone Endgeräten kein Problem/Eingriff/Bestätigungsmeldung zu erwarten oder? Die iPhone müssen halt das Domaincontroller-CA installiert / vertraut haben unter Zertifikatsvertraueneinstellungen soweit ich weiß. Die native Samsung S10 Emailapp scheint SHA1 überhaupt nicht zu stören. Höchstens wenn "alternative Antragstellernamen" hinzugefügt/geändert werden kann es zu der "Server-Identität bestätigen" Meldung auf dem iPhone kommen soweit ich weiß. Das es bei PSW.org für 80€ für zwei Jahre öff. signrierte Zertifikate für sowas gibt ist mir bekannt (vier Domainnamen möglich) Quelle: https://support.apple.com/de-de/HT210176 Anforderungen an vertrauenswürdige Zertifikate in iOS 13 und macOS 10.15 Hier erhalten Sie Informationen zu den neuen Sicherheitsanforderungen an TLS-Serverzertifikate in iOS 13 und macOS 10.15. Alle TLS-Serverzertifikate müssen in iOS 13 und macOS 10.15 die folgenden neuen Sicherheitsanforderungen erfüllen: TLS-Serverzertifikate und ausstellende Zertifizierungsstellen, die RSA-Schlüssel verwenden, müssen Schlüsselgrößen größer oder gleich 2048 Bit verwenden. Zertifikate mit RSA-Schlüsselgrößen kleiner als 2048 Bit werden für TLS nicht mehr als vertrauenswürdig angesehen. TLS-Serverzertifikate und ausstellende Zertifizierungsstellen müssen im Signaturalgorithmus einen Hash-Algorithmus aus der SHA-2-Familie verwenden. SHA-1-signierte Zertifikate sind für TLS nicht mehr vertrauenswürdig. TLS-Serverzertifikate müssen den DNS-Namen des Servers in der SAN-Erweiterung (Subject Alternative Name) des Zertifikats angeben. DNS-Namen im CommonName eines Zertifikats sind nicht mehr vertrauenswürdig. Darüber hinaus müssen alle nach dem 1. Juli 2019 ausgestellten TLS-Serverzertifikate (wie im NotBefore-Feld des Zertifikats angegeben) den folgenden Richtlinien entsprechen: TLS-Serverzertifikate müssen eine ExtendedKeyUsage (EKU)-Erweiterung enthalten, die die "id-kp-serverAuth OID" enthält. TLS-Serverzertifikate müssen eine Gültigkeitsdauer von 825 Tagen oder weniger haben (wie in den Feldern "NotBefore" und "NotAfter" des Zertifikats angegeben). Verbindungen zu TLS-Servern, die gegen diese neuen Anforderungen verstoßen, schlagen fehl und können Netzwerkausfälle und das Fehlschlagen von Apps verursachen. Außerdem ist es möglich, dass Websites in Safari in iOS 13 und macOS 10.15 nicht geladen werden. Veröffentlichungsdatum: Juni 28, 2019 Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 19. Dezember 2019 Melden Teilen Geschrieben 19. Dezember 2019 Hi, kurz und knapp: Zertifikat bei z.B. PSW kaufen -> 2 Jahre Glücklich sein. Wenn es tatsächlich selfsigned vom Exchange ist, wirst du bei SHA1 bleiben und jedes Device muss das neue Zertifikat bestätigen. Bei einer eigenen PKI müsste die ausstellende CA erst geprüft werden, ob diese SHA256 hashed. Hier würde auf den Devices nichts passieren. Ggfs. wäre es dann auch angebracht die Zertifikate der Root (und Subs) zu prüfen, ob die nicht auch noch SHA1 sind. Sollten in der Zertifikatskette SHA1 Zertifikate zu finden sein, müssten diese neu ausgestellt werden und entsprechend wieder aufs Device drauf. Wenn es hier nur um Exchange geht, siehe oben sowie ggfs. PKI entsorgen. Ansonsten wäre die Frage was die PKI tut und dann je nachdem neue PKI aufsetzen, Zertifikate tauschen, alte PKI entsorgen. Gruß Jan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.