Deutschland LAN SIP Trunk tauscht Zertifikate zum 25.04. Bedeutung für STARFACE?

  • Folgenden Brief haben wir von der Telekom erhalten:


    Jetzt Zertifikat wechseln, um weiterhin verschlüsselt kommunizieren zu können




    Meine Frage
    : Hat das Auswirkungen für den Betrieb mit der Starface? Muss da ggfls. was gemacht werden? Wir nutzen eine Starface 6.4.3.34. Die Telekom nervt mit ihren seltsamen Vorstellungen von "empfohlenen" Router etc. Wie annodazumal Microsoft mit ihrem Internet Explorer ...


    Leider haben wir bei der Umstellung zu ALL-IP einen Fehler gemacht und sind nun in einem 2-Jahres-Vertrag an die Telekom geknebelt. Ursprünglich wollten wir zu Starface Connect portieren.


    Stehen zum 25.04 die Telefone still, oder hat die Telekom einfach nur Uralt-Zertifikate in ihren vertriebenen Geräten?

  • Danke für den Tip "slu"! Ja das wäre sicherlich keine schlechte Idee, den Parameter "tlsdontverifyserver=yes" sichtbar im Webgui anzubringen. In unserem Fall ist es aber gut so, dass es standardmässig aktiviert ist, also nicht per Zertifikat geprüft wird, ob der SIP-Provider tatsächlich die Telekom ist ... Allerdings werden wohl sehr viele andere verschlafene Kunden der Telekom am 25. vor toten Telefonen sitzen. Na Prost Mahlzeit. Die Zertifikat-Sicherheit wandelt sich dann zum Super-GAU.


    Sowas wie Let's Encrypt scheint sich wohl bei den SIP Providern noch nicht herumgesprochen zu haben, dass man da händisch eingreifen muss? Wenn das wie bei Let's Encrypt automatisch erneuert würde, bräuchte man auch keine ausgeschaltete Zertifikatsprüfung. Wer aktualisiert denn schon ständig die Firmware des Routers. Die Dinger werden an die Wand genagelt und gut ist bis zum nächsten Gewitter-Tod.

    Einmal editiert, zuletzt von fone ()


  • Sowas wie Let's Encrypt scheint sich wohl bei den SIP Providern noch nicht herumgesprochen zu haben, dass man da händisch eingreifen muss?


    Es geht hier um die CA und auf der Telekom Seite steht das die "Root CA "T-TeleSec GlobalRoot Class 2"" vorhanden sein muss.
    Ob die schon auf der Starface installiert ist müsste ich jetzt selber erst nachschauen...


    Edit:
    https://www.telesec.de/de/publ…elesec-globalroot-class-2

  • ... dann müsste also für jeden x-beliebigen SIP-Provider ein passendes Zertifikat vorhanden sein. Dann müsste über eine genormte Schnittstelle der Zertikataustausch stattfinden, der unkompliziert und praktikabel stattfindet. z.B. wie im UCS (Univention Corporate Server) Alles andere wäre in meinen Augen Murks und würde viel Support-Aufwand für Starface bedeuten.


    Im übrigen halte ich nichts von der Routergängelung (Lancom etc.) bei der Telekom. Wir nutzen pfSense und nicht so ein Blackbox-Zeug (ohne vernünftige Einstellungs und Erweiterungsmöglichkeiten)

    2 Mal editiert, zuletzt von fone ()

  • ... dann müsste also für jeden x-beliebigen SIP-Provider ein passendes Zertifikat vorhanden sein.


    Ich bin mir nicht sicher ob hier ein Missverständnis vorliegt, auf der Starface muss nur die CA sein, dann kann der Provider Zertifikate tauschen solange er möchte.



    Wir nutzen pfSense und nicht so ein Blackbox-Zeug (ohne vernünftige Einstellungs und Erweiterungsmöglichkeiten)


    +1 für pfSense

  • Ich bin mir nicht sicher ob hier ein Missverständnis vorliegt, auf der Starface muss nur die CA sein, dann kann der Provider Zertifikate tauschen solange er möchte.


    +1 für pfSense


    Also die Starface als allgemeingültige Zertifizierungsstelle? Würde sich denn z.B. die Telekom darauf einlassen? Denn so wie ich das verstanden habe, gibt die Telekom als CA über die Firmware ein neues Zertifikat an ihre Router heraus und nicht umgekehrt. Aber kann mich auch täuschen :)

  • Denn so wie ich das verstanden habe, gibt die Telekom als CA über die Firmware ein neues Zertifikat an ihre Router heraus und nicht umgekehrt. Aber kann mich auch täuschen :)


    Die CA der Telekom gibt es schon seit "01. Oktober 2008, 10:40 Uhr (GMT)", wenn diese bereits auf der Starface installiert ist wird nichts passieren.

  • Hallo,


    wir haben das Schreiben auch erhalten.
    Mich würde interessieren, ob auf der Starface etwas getan werden muss und wenn ja was?
    Vielleicht kann Starface selbst sich kurz dazu äußern...


    Danke.


    Gruß Oliver

  • Hallo Zusammen,


    wir haben ebenfalls das schreiben erhalten. Es scheint ja, das durch den Eintrag tlsdontverifyserver=yes in der /etc/asterisk/sip.conf alles nötige gemacht wurde, damit uns das nicht trifft.


    Das ist ein boolescher Wert. Das heißt, es gibt zwei Optionen.
    Die Option tlsdontverifyserver=no erfordert zwingend ein Server- und CA-Zertifikat.
    Für STARFACE als Hersteller gibt es daher praktisch fast nur die Option die Zertifikatsprüfung standardmäßig auszuschalten, da man ansonsten künstlich die Telefonie der meisten Kunden stören würde.
    Das gäbe einen Aufschrei... (und Supportaufwand).


    Der Fehler ist eigentlich, dass das im Asterisk ein globaler Schalter ist – das müßte leitungsbezogen sein. Und dann müßte es pro Leitung aktivierbar bzw. deaktivierbar sein.
    Als globaler Schalter muß man die Zertifikateprüfung ja quasi ausschalten, wenn man Verschlüsselung breit einsetzen möchte.


    Im Übrigen kann die Zertifikatsprüfung auch mit IP-Adressen funktionieren – die müssen dann halt im Common Name (CN) oder Subject Alternative Name (SAN) des Zertifikats stehen.


    Aber ich würde mich über eine offizielle Antwort freuen.


    VG

  • Hallo,


    hier auch, haben das erhalten und ich würde auch gerne wissen, ob und was getan werden muss bei der Starface bzw. ob ein Update rauskommt und dann damit entsprechend reagiert wird?

  • Aus dem Newsletter:



    MfG


    Fabian

  • ... jetzt sind natürlich sofort div. Nutzer wach geworden, die keine Updateverträge haben und mit z.T. steinalten Softwareständen herumeiern ...


    Es gibt ja Leute, die "nicht einsehen", dass man vielleicht mal eine Gerätesoftware updaten sollte - O-Ton: "warum? / Gerät läuft ja ... ich gebe dafür doch kein Geld aus oder investiere Zeit ..."


    :rolleyes:

  • Wir haben einen Updatevertrag aber trotzdem noch die 6.5 am laufen.
    Muss ich jetzt zwangsweise updaten?


    Gruß Oliver

  • aus dem Partner-Newsletter vom19.3.2019


    Liebe STARFACE Partner,


    heute haben wir eine aktuelle Information zum TLS-Zertifikat der Telekom für Sie:


    Das neue Telekom TLS-Zertifikat und die STARFACE Telefonanlage


    Haben Sie und Ihre Kunden auch Post von der Telekom bekommen? Die Telekom wechselt am 24./25. April ihr TLS-Zertifikat für den DeutschlandLAN SIP-Trunk. Mit STARFACE müssen Sie sich keine Sorgen machen: Wir werden das neue Zertifikat rechtzeitig über unsere Plattform http://www.siptrunk.de an STARFACE Telefonanlagen der Version 6.6 verteilen, sofern diese entsprechenden Internetzugriff besitzen.
    Außerdem werden wir das neue Zertifikat rechtzeitig in ein Service Release für die STARFACE Version 6.6 integrieren und natürlich auch in den Folgereleases mit ausliefern. Aus Kompatibilitätsgründen ist beim Standardprofil die Verschlüsselung derzeit deaktiviert; für auf Verschlüsselung angepasste Leitungsprofile sind Sie dann ebenfalls gerüstet.

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Mit STARFACE müssen Sie sich keine Sorgen machen: Wir werden das neue Zertifikat rechtzeitig über unsere Plattform http://www.siptrunk.de an STARFACE Telefonanlagen der Version 6.6 verteilen, sofern diese entsprechenden Internetzugriff besitzen.


    Hopla, über siptrunk.de werden mehr sachen aktualisiert als ich dachte.
    Gibt es da eine Beschreibung?


    Aus Kompatibilitätsgründen ist beim Standardprofil die Verschlüsselung derzeit deaktiviert;


    Und das ist genau der Grund weshalb ich die Starface Profile nicht mehr verwende!

  • Hallo Leute,


    ich kenne mich in diesem Thema leider nicht so gut aus. Ich habe von Starface folgende E-Mail bekommen


    [...]
    Das neue Telekom TLS-Zertifikat und die STARFACE Telefonanlage


    Haben Sie und Ihre Kunden auch Post von der Telekom bekommen? Die Telekom wechselt am 24./25. April ihr TLS-Zertifikat für den DeutschlandLAN SIP-Trunk. Mit STARFACE müssen Sie sich keine Sorgen machen: Wir werden das neue Zertifikat rechtzeitig über unsere Plattform http://www.siptrunk.de an STARFACE Telefonanlagen der Version 6.6 verteilen, sofern diese entsprechenden Internetzugriff besitzen.
    Außerdem werden wir das neue Zertifikat rechtzeitig in ein Service Release für die STARFACE Version 6.6 integrieren und natürlich auch in den Folgereleases mit ausliefern. Aus Kompatibilitätsgründen ist beim Standardprofil die Verschlüsselung derzeit deaktiviert; für auf Verschlüsselung angepasste Leitungsprofile sind Sie dann ebenfalls gerüstet.



    [...]


    Jetzt haben wir ein paar Kunden die kein Updatevertrag besitzen und deshalb auch nicht die Version 6.6 im Einsatz haben. Diese Kunden habe auch den Telekom DeutschlandLAN SIP-Trunk. Nun zu meiner Fragen wird es Probleme geben? Was muss ich beachten? Wo bekomme ich das TLS-Zertifikat her?


    Falls Ihr weiter Informationen benötigt bitte bescheid geben. Vielen Dank im voraus.


    LG

  • Hallo ryrze,


    achte bitte beim Erstellen von Threads darauf, ob ein aktiver Thread dazu schon existiert. Ich habe deinen Beitrag mit dem bereits existierenden Thread gemergt.


    LG


    Tom

    Quality Assurance


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • Hallo alle zusammen,


    ich bin einmal so frei und poste hier die Stellungnahme von STARFACE zu diesem Thema.



    Ebenso wie die STARFACE GmbH entwickeln Telefonhersteller, SIP-Provider, Softwarehersteller und Netzwerkhersteller ihre Produkte permanent weiter; für den Kunden bedeutet das sowohl besseres Handling seiner eingesetzten Produkte als auch eine geringere Fehleranfälligkeit, da sogenannte Bugs auf diese weise regelmäßig beseitigt werden.
    Das STARFACE Entwicklerteam antizipiert diese Modifikationen bei anderen Herstellern oder erstellt zeitnah eine STARFACE-Anpassung (Service-Release), falls dies für den reibungslosen Betrieb notwendig ist.


    Diese Service-Releases sind jeweils mit der letzen aktuellen STARFACE Version qualitätsgesichert und können dort problemlos integriert werden. Anpassungen für ältere und alte Releases können bei der Menge der Interaktionen mit anderen Produkten in der Regel nicht erstellt werden.


    Das heißt, Ihre Kunden, die ein solches Service-Release benötigen, müssen auf dem neuesten STARFACE- Softwarestand sein. Von dort kann die STARFACE problemlos upgedatet werden (das Service-Release wird eingespielt), was wiederum einen bestehenden Updatevertrag voraussetzt.


    Sie sehen, ein bestehender Updatevertrag ist nicht nur zum Erwerb neuer STARFACE-Features und ggf. zur Fehlerbehebung innerhalb eines STARFACE-Systems notwendig, sondern auch notwendige Bedingung für den reibungslosen Betrieb eines STARFACE Systems innerhalb der Kunden- und Providerumgebung. Bitte weisen Sie Ihre Kunden auf diesen Zusammenhang hin, der im Übrigen für alle Softwarehersteller gilt.
    Ein Kunde mit Updatevertrag hat immer eine aktuelle Lösung mit entsprechenden Vorteilen im laufenden Betrieb.


    Als aktuelles Beispiel senden wir ihnen unseren Newsletter vom 18. März 2019, in dem wir auf unser Service-Release für die Version 6.6 hinweisen, da die DTAG Ende April 2019 ihr TLS-Zertifikat wechseln wird;


    Bitte informieren Sie Ihre Kunden darüber und legen Ihren Kunden ohne gültigen STARFACE-Updatevertrag nahe, vor Ende April einen Updatevertrag abzuschließen.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!