Seite 1 von 4 123 ... LetzteLetzte
Zeige Ergebnis 1 bis 15 von 53

Thema: Deutschland LAN SIP Trunk tauscht Zertifikate zum 25.04. Bedeutung für STARFACE?

  1. #1
    STARFACE User

    Registriert seit
    31.08.2013
    Beiträge
    11

    Unglücklich Deutschland LAN SIP Trunk tauscht Zertifikate zum 25.04. Bedeutung für STARFACE?

    Folgenden Brief haben wir von der Telekom erhalten:

    Jetzt Zertifikat wechseln, um weiterhin verschlüsselt kommunizieren zu können

    Sehr geehrter Hr. ***

    Sie nutzen DeutschlandLAN SIP-Trunk mit verschlüsselter Sprachübertragung. Um die dabei
    geltenden hohen Sicherheitsstandards auch weiterhin zu gewährleisten, müssen demnächst die
    Verschlüsselungszertifikate aktualisiert werden. Dies muss sowohl bei uns in der Technik als
    auch auf Ihren Routern und Telefonanlagen erfolgen.

    In der Nacht vom 24.04. auf den 25.04.2019 werden wir auf unserer Plattform die bestehenden
    Zertifikate durch neue ersetzen. Wichtig: Bis zu diesem Zeitpunkt müssen Sie die Zertifikate auf
    Ihren Endgeräten bereits aktualisiert haben. Andernfalls können Sie ab 25.04.2019 nicht mehr
    verschlüsselt kommunizieren. Um wieder telefonieren zu können, müssten Sie die Geräte entweder
    auf unverschlüsselte Kommunikation umstellen oder die Zertifikate so bald wie möglich tauschen.
    Damit die Aktualisierung reibungslos abläuft, haben wir auf www.telekom.de/gk/neues-zertifikat
    alle wichtigen Informationen für Telekom Endgeräte für Sie zusammengestellt.

    Sollten Sie Router oder Telefonanlagen anderer Hersteller nutzen, kontaktieren Sie bitte Ihren Lieferanten. Gern können Sie
    uns auch unter 0800 0868 044 anrufen.

    Freundliche Grüße
    Ihre Telekom

    Meine Frage
    : Hat das Auswirkungen für den Betrieb mit der Starface? Muss da ggfls. was gemacht werden? Wir nutzen eine Starface 6.4.3.34. Die Telekom nervt mit ihren seltsamen Vorstellungen von "empfohlenen" Router etc. Wie annodazumal Microsoft mit ihrem Internet Explorer ...

    Leider haben wir bei der Umstellung zu ALL-IP einen Fehler gemacht und sind nun in einem 2-Jahres-Vertrag an die Telekom geknebelt. Ursprünglich wollten wir zu Starface Connect portieren.

    Stehen zum 25.04 die Telefone still, oder hat die Telekom einfach nur Uralt-Zertifikate in ihren vertriebenen Geräten?
    Angehängte Dateien Angehängte Dateien

  2. #2
    STARFACE Expert
    Benutzerbild von slu
    Registriert seit
    23.02.2008
    Beiträge
    3.071

    Standard

    Zitat Zitat von fone Beitrag anzeigen
    Hat das Auswirkungen für den Betrieb mit der Starface? Muss da ggfls. was gemacht werden?
    Nein solange diese Option Standard ist:
    https://support.starface.de/forum/sh...herheitsrisiko!
    Gruß
    slu


    Starface seit März 2008

    Starface Advanced V5
    2 Sip-Leitungen Easybell
    1 Sip-Trunk Peoplefone
    Gigaset N720 DECT / Yealink
    Debian Workstation mit Linphone
    Anlagenverbund


    Bitte im Forum duzen, wir sind doch eine Community!

    Hinweis: Ich bin kein Starface Partner.

  3. #3
    STARFACE User

    Registriert seit
    31.08.2013
    Beiträge
    11

    Standard

    Danke für den Tip "slu"! Ja das wäre sicherlich keine schlechte Idee, den Parameter "tlsdontverifyserver=yes" sichtbar im Webgui anzubringen. In unserem Fall ist es aber gut so, dass es standardmässig aktiviert ist, also nicht per Zertifikat geprüft wird, ob der SIP-Provider tatsächlich die Telekom ist ... Allerdings werden wohl sehr viele andere verschlafene Kunden der Telekom am 25. vor toten Telefonen sitzen. Na Prost Mahlzeit. Die Zertifikat-Sicherheit wandelt sich dann zum Super-GAU.

    Sowas wie Let's Encrypt scheint sich wohl bei den SIP Providern noch nicht herumgesprochen zu haben, dass man da händisch eingreifen muss? Wenn das wie bei Let's Encrypt automatisch erneuert würde, bräuchte man auch keine ausgeschaltete Zertifikatsprüfung. Wer aktualisiert denn schon ständig die Firmware des Routers. Die Dinger werden an die Wand genagelt und gut ist bis zum nächsten Gewitter-Tod.
    Geändert von fone (16.03.2019 um 17:37 Uhr)

  4. #4
    STARFACE Expert
    Benutzerbild von slu
    Registriert seit
    23.02.2008
    Beiträge
    3.071

    Standard

    Zitat Zitat von fone Beitrag anzeigen
    Sowas wie Let's Encrypt scheint sich wohl bei den SIP Providern noch nicht herumgesprochen zu haben, dass man da händisch eingreifen muss?
    Es geht hier um die CA und auf der Telekom Seite steht das die "Root CA "T-TeleSec GlobalRoot Class 2"" vorhanden sein muss.
    Ob die schon auf der Starface installiert ist müsste ich jetzt selber erst nachschauen...

    Edit:
    https://www.telesec.de/de/public-key...alroot-class-2
    Gruß
    slu


    Starface seit März 2008

    Starface Advanced V5
    2 Sip-Leitungen Easybell
    1 Sip-Trunk Peoplefone
    Gigaset N720 DECT / Yealink
    Debian Workstation mit Linphone
    Anlagenverbund


    Bitte im Forum duzen, wir sind doch eine Community!

    Hinweis: Ich bin kein Starface Partner.

  5. #5
    STARFACE User

    Registriert seit
    31.08.2013
    Beiträge
    11

    Standard

    ... dann müsste also für jeden x-beliebigen SIP-Provider ein passendes Zertifikat vorhanden sein. Dann müsste über eine genormte Schnittstelle der Zertikataustausch stattfinden, der unkompliziert und praktikabel stattfindet. z.B. wie im UCS (Univention Corporate Server) Alles andere wäre in meinen Augen Murks und würde viel Support-Aufwand für Starface bedeuten.

    Im übrigen halte ich nichts von der Routergängelung (Lancom etc.) bei der Telekom. Wir nutzen pfSense und nicht so ein Blackbox-Zeug (ohne vernünftige Einstellungs und Erweiterungsmöglichkeiten)
    Geändert von fone (16.03.2019 um 17:57 Uhr)

  6. #6
    STARFACE Expert
    Benutzerbild von slu
    Registriert seit
    23.02.2008
    Beiträge
    3.071

    Standard

    Zitat Zitat von fone Beitrag anzeigen
    ... dann müsste also für jeden x-beliebigen SIP-Provider ein passendes Zertifikat vorhanden sein.
    Ich bin mir nicht sicher ob hier ein Missverständnis vorliegt, auf der Starface muss nur die CA sein, dann kann der Provider Zertifikate tauschen solange er möchte.

    Zitat Zitat von fone Beitrag anzeigen
    Wir nutzen pfSense und nicht so ein Blackbox-Zeug (ohne vernünftige Einstellungs und Erweiterungsmöglichkeiten)
    +1 für pfSense
    Gruß
    slu


    Starface seit März 2008

    Starface Advanced V5
    2 Sip-Leitungen Easybell
    1 Sip-Trunk Peoplefone
    Gigaset N720 DECT / Yealink
    Debian Workstation mit Linphone
    Anlagenverbund


    Bitte im Forum duzen, wir sind doch eine Community!

    Hinweis: Ich bin kein Starface Partner.

  7. #7
    STARFACE User

    Registriert seit
    31.08.2013
    Beiträge
    11

    Standard

    Zitat Zitat von slu Beitrag anzeigen
    Ich bin mir nicht sicher ob hier ein Missverständnis vorliegt, auf der Starface muss nur die CA sein, dann kann der Provider Zertifikate tauschen solange er möchte.

    +1 für pfSense
    Also die Starface als allgemeingültige Zertifizierungsstelle? Würde sich denn z.B. die Telekom darauf einlassen? Denn so wie ich das verstanden habe, gibt die Telekom als CA über die Firmware ein neues Zertifikat an ihre Router heraus und nicht umgekehrt. Aber kann mich auch täuschen

  8. #8
    STARFACE Expert
    Benutzerbild von slu
    Registriert seit
    23.02.2008
    Beiträge
    3.071

    Standard

    Zitat Zitat von fone Beitrag anzeigen
    Denn so wie ich das verstanden habe, gibt die Telekom als CA über die Firmware ein neues Zertifikat an ihre Router heraus und nicht umgekehrt. Aber kann mich auch täuschen
    Die CA der Telekom gibt es schon seit "01. Oktober 2008, 10:40 Uhr (GMT)", wenn diese bereits auf der Starface installiert ist wird nichts passieren.
    Gruß
    slu


    Starface seit März 2008

    Starface Advanced V5
    2 Sip-Leitungen Easybell
    1 Sip-Trunk Peoplefone
    Gigaset N720 DECT / Yealink
    Debian Workstation mit Linphone
    Anlagenverbund


    Bitte im Forum duzen, wir sind doch eine Community!

    Hinweis: Ich bin kein Starface Partner.

  9. #9
    STARFACE User

    Registriert seit
    11.07.2018
    Beiträge
    30

    Standard

    Hallo,

    wir haben das Schreiben auch erhalten.
    Mich würde interessieren, ob auf der Starface etwas getan werden muss und wenn ja was?
    Vielleicht kann Starface selbst sich kurz dazu äußern...

    Danke.

    Gruß Oliver

  10. #10
    STARFACE User

    Registriert seit
    04.09.2017
    Beiträge
    8

    Standard

    Hallo Zusammen,

    wir haben ebenfalls das schreiben erhalten. Es scheint ja, das durch den Eintrag tlsdontverifyserver=yes in der /etc/asterisk/sip.conf alles nötige gemacht wurde, damit uns das nicht trifft.

    Das ist ein boolescher Wert. Das heißt, es gibt zwei Optionen.
    Die Option tlsdontverifyserver=no erfordert zwingend ein Server- und CA-Zertifikat.
    Für STARFACE als Hersteller gibt es daher praktisch fast nur die Option die Zertifikatsprüfung standardmäßig auszuschalten, da man ansonsten künstlich die Telefonie der meisten Kunden stören würde.
    Das gäbe einen Aufschrei... (und Supportaufwand).

    Der Fehler ist eigentlich, dass das im Asterisk ein globaler Schalter ist – das müßte leitungsbezogen sein. Und dann müßte es pro Leitung aktivierbar bzw. deaktivierbar sein.
    Als globaler Schalter muß man die Zertifikateprüfung ja quasi ausschalten, wenn man Verschlüsselung breit einsetzen möchte.

    Im Übrigen kann die Zertifikatsprüfung auch mit IP-Adressen funktionieren – die müssen dann halt im Common Name (CN) oder Subject Alternative Name (SAN) des Zertifikats stehen.


    Aber ich würde mich über eine offizielle Antwort freuen.

    VG

  11. #11
    STARFACE User

    Registriert seit
    17.08.2016
    Beiträge
    63

    Standard

    Hallo,

    hier auch, haben das erhalten und ich würde auch gerne wissen, ob und was getan werden muss bei der Starface bzw. ob ein Update rauskommt und dann damit entsprechend reagiert wird?

  12. #12
    STARFACE Expert
    Benutzerbild von nucom
    Registriert seit
    11.12.2012
    Ort
    9443 Widnau
    Beiträge
    1.455

    Standard

    Aus dem Newsletter:

    Liebe STARFACE Partner,

    heute haben wir eine aktuelle Information zum TLS-Zertifikat der Telekom für Sie:

    Das neue Telekom TLS-Zertifikat und die STARFACE Telefonanlage

    Haben Sie und Ihre Kunden auch Post von der Telekom bekommen? Die Telekom wechselt am 24./25. April ihr TLS-Zertifikat für den DeutschlandLAN SIP-Trunk.
    Mit STARFACE müssen Sie sich keine Sorgen machen: Wir werden das neue Zertifikat rechtzeitig über unsere Plattform www.siptrunk.de an STARFACE Telefonanlagen der Version 6.6 verteilen, sofern diese entsprechenden Internetzugriff besitzen.
    Außerdem werden wir das neue Zertifikat rechtzeitig in ein Service Release für die STARFACE Version 6.6 integrieren und natürlich auch in den Folgereleases mit ausliefern.
    Aus Kompatibilitätsgründen ist beim Standardprofil die Verschlüsselung derzeit deaktiviert; für auf Verschlüsselung angepasste Leitungsprofile sind Sie dann ebenfalls gerüstet.
    MfG

    Fabian
    Modulhersteller aus der Schweiz
    __________________________________________________ ________
    STARFACE Excellence Partner: Info | Certified Module Creator Kontakt

  13. #13
    STARFACE Expert
    Benutzerbild von Ulf
    Registriert seit
    06.03.2013
    Ort
    79395 Neuenburg
    Beiträge
    1.604

    Standard

    ... jetzt sind natürlich sofort div. Nutzer wach geworden, die keine Updateverträge haben und mit z.T. steinalten Softwareständen herumeiern ...

    Es gibt ja Leute, die "nicht einsehen", dass man vielleicht mal eine Gerätesoftware updaten sollte - O-Ton: "warum? / Gerät läuft ja ... ich gebe dafür doch kein Geld aus oder investiere Zeit ..."

    Beste Grüße,
    Ulf

    Starface Certified Partner | Starface Module Creator | Module für Starface

  14. #14
    STARFACE User

    Registriert seit
    11.07.2018
    Beiträge
    30

    Standard

    Wir haben einen Updatevertrag aber trotzdem noch die 6.5 am laufen.
    Muss ich jetzt zwangsweise updaten?

    Gruß Oliver

  15. #15
    STARFACE Expert
    Benutzerbild von thomas.hertli
    Registriert seit
    30.05.2007
    Ort
    Arisdorf (CH)
    Beiträge
    960

    Standard

    aus dem Partner-Newsletter vom19.3.2019

    Liebe STARFACE Partner,

    heute haben wir eine aktuelle Information zum TLS-Zertifikat der Telekom für Sie:

    Das neue Telekom TLS-Zertifikat und die STARFACE Telefonanlage

    Haben Sie und Ihre Kunden auch Post von der Telekom bekommen? Die Telekom wechselt am 24./25. April ihr TLS-Zertifikat für den DeutschlandLAN SIP-Trunk. Mit STARFACE müssen Sie sich keine Sorgen machen: Wir werden das neue Zertifikat rechtzeitig über unsere Plattform www.siptrunk.de an STARFACE Telefonanlagen der Version 6.6 verteilen, sofern diese entsprechenden Internetzugriff besitzen.
    Außerdem werden wir das neue Zertifikat rechtzeitig in ein Service Release für die STARFACE Version 6.6 integrieren und natürlich auch in den Folgereleases mit ausliefern. Aus Kompatibilitätsgründen ist beim Standardprofil die Verschlüsselung derzeit deaktiviert; für auf Verschlüsselung angepasste Leitungsprofile sind Sie dann ebenfalls gerüstet.
    STARFACE Certified Partner

    Gruss
    Thomas

    hertli ¦ IT
    hertli Informatik+Treuhand

    eMail: briefkasten ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, STARFACE-Telefonanlagen, Managed Services, Security

Ähnliche Themen

  1. Telekom Deutschland IP SIP Trunk mit DIGITALISIERUNGSBOX SMART
    Von thomaslauer im Forum STARFACE Einrichtung & Administration
    Antworten: 1
    Letzter Beitrag: 08.06.2017, 14:26
  2. Starface an Kabel Deutschland Anschluss
    Von JoyGoj im Forum STARFACE Einrichtung & Administration
    Antworten: 2
    Letzter Beitrag: 05.01.2017, 20:05
  3. STARFACE an Telekom Deutschland LAN IP Anschluss
    Von denhen im Forum Leitungen SIP, NGN, ALL-IP
    Antworten: 29
    Letzter Beitrag: 29.06.2016, 22:44
  4. Zertifikate
    Von andy15073 im Forum STARFACE Erweiterungen & Integrationen
    Antworten: 0
    Letzter Beitrag: 21.03.2016, 16:03
  5. Starface hinter Fritz!Box Workaround für Kabel Deutschland Nutzer
    Von maXXolution im Forum STARFACE Einrichtung & Administration
    Antworten: 8
    Letzter Beitrag: 11.09.2012, 14:37

Lesezeichen

Forumregeln

  • Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
  • Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
  • Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
  • Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
  •