Thawte CAs im TrustStore - DigiCert

  • Hallo!


    Viele Kunden von Symantec, Thawte, GeoTrust und RapidSSL wurden im Vorjahr aufgefordert, ihre Zertifikate zu tauschen, um weiterhin von Google Chrome als sicher eingestuft zu werden. Die neu ausgestellten Zertifikate sind von neuen Intermediate-CAs ausgestellt, die von der DigiCert Global Root signiert sind. Diese relativ neuen Intermediate CAs sind leider nicht im Truststore der aktuellen Mocca-Installation.


    https://www.digicert.com/repla…-ssl-tls-certificates-de/


    Wäre es möglich, etwa
    Thawte RSA CA 2018 (02:5A:8A:EF:19:6F:7E:0D:6C:21:04:B2:1A:E6:70:2B)
    zum Standard-Truststore hinzuzufügen? Das Root-Zertifikat DigiCert ist ja bereits enthalten.


    Vielen Dank!


    LG,
    peda

  • Wertes Support-Team!


    Ich habe mit meiner Bürgerkarte dieses (o.g.) Problem, das dem Zertifikat des von mir beruflich genutzten Portals gesichert mit der Intermediate CA von


    Thawte RSA CA 2018 mit Serien-Nummer 02 5A 8A EF 19 6F 7E 0D 6C 21 04 B2 1A E6 70 2B


    vom Mocca-Client aus nicht vertraut wird.


    An error has occoured upon request processing by the citizen card software:

    Error Code: 2010

    HTTPS-Binding: Fehler beim Aufbau der TLS-Verbindung.


    SV-Online und Finanzonline funktionieren völlig normal.


    Gibt es für mich als Endbenutzer eine Möglichkeit, vor Release der neuen Version des Mocca-Clients dieses Zertifikat einzupflegen (hinzufügen des Zertifikats in den systemweiten Schlüsselbund unter Mac OS bzw. Zertifikatsverwalter in Linux und aber auch das simple kopieren der entsprechenden .crt Datei im Verzeichnis $HOME/.mocca/certs/certStore/toBeAdded und/oder $HOME/.mocca/certs/trustStore/ hat leider nicht zum gewünschten Ergebnis geführt.


    Falls nicht, gibt es schon ein Release-Datum für die neue Version des Mocca-Clients (mit dem eingepflegten Zertifikat).


    Vielen Dank für die Hilfe/Unterstützung!



  • Hallo,



    die aktualisierte Version von Mocca (inklusive aktualisiertem Zertifikat) wird im Laufe des heutigen Tages noch veröffentlicht.


    Konkret zur Ihrer Frage:


    Grundsätzlich ist Ihre Vorgehensweise richtig. Standardmäßig werden allerdings Zertifikate in den von Ihnen beschriebenen Verzeichnissen ignoriert.


    Damit dies nicht mehr passiert müssen Sie in der Konfiguration ($HOME/.mocca/conf/configuration.xml) das Kommentar in den beiden Zeilen( "certDirectory" bzw. "caDirectory") entfernen:

    Code
    1. ...
    2. <SSL>
    3. <!--
    4. Use alternative directories for the certificate stores
    5. The example below uses the .mocca user directory
    6. -->
    7. <certDirectory>../certs/certStore</certDirectory>
    8. <caDirectory>../certs/trustStore</caDirectory>
    9. </SSL>
    10. ...


    Schöne Grüße

  • Sehr geehrter Herr Ziegler!


    Vielen Dank für den Release des neuen Mocca Clients und die Hinweise für die Aktivierung in der Konfiguration (hab ich jetzt ja durch den neuen Client nicht ändern müssen, ist aber für künftige Fälle bestimmt hilfreich).


    Mit dem neuen Client funktioniert mein Einstieg in das berufliche Portal wie erwartet (getestet unter MacOS und Linux)


    Danke und herzliche Grüße