Ergebnis 1 bis 10 von 10
  1. #1
    Kunde
    Registriert seit
    14.02.2014
    Beiträge
    64

    Frage Verifizierungsmethoden

    Guten Morgen zusammen,
    ich habe vergangenes Wochenende mehrere SSL-Zertifikate über das Kundenmenü neu bestellt. Bei allen Domains, bis auf eine, konnte ich im Bestellprozess die Verifizierung via DNS TXT-Eintrag auswählen. Nur bei der letzten (war klar), ist die Verifizierung nur per E-Mail möglich gewesen.

    Selbstverständlich habe ich brav ein Support Ticket (#7069617) geschrieben. Die erste Antwort lautet "das liegt daran, dass die Domain als externe Domain eingebunden ist". Daraufhin habe ich alle Domains genannt, bei denen eine Verifizierung via DNS TXT Eintrag möglich war. Nun erhalte ich die Antwort, dass dies durch die Zertifizierungsstelle entschieden wird. Was ich eigentlich kaum glauben kann - vor allem nach der ersten Antwort in dem Ticket.

    Die betroffenen Domains sind alle als externe Domain bei dF eingebunden. Somit liegen auch die Internetauftritte auf dem selben ManagedServer. Wir sehen da erst mal keinen Unterschied, warum die Zertifizierungsstelle unterscheiden sollte.
    Hat jemand von euch die selbe Beobachtung schon gemacht?

    @Herr Dornblut
    Können Sie das Ganze nochmals von der Fachabteilung prüfen lassen? Ich komme irgendwie am VIP Kundenservice nicht vorbei. :-/


    Viele Grüße,
    Daniel

  2. #2
    Forenexperte² (Reseller) Avatar von Enigma
    Registriert seit
    20.07.2001
    Beiträge
    18.323

    AW: Verifizierungsmethoden

    Zitat Zitat von bawuedv Beitrag anzeigen
    Die betroffenen Domains sind alle als externe Domain bei dF eingebunden. Somit liegen auch die Internetauftritte auf dem selben ManagedServer. Wir sehen da erst mal keinen Unterschied, warum die Zertifizierungsstelle unterscheiden sollte.
    Es gibt nicht nur eine Registry. Wenn die letzte Domain eine andere Top-Level-Domain hat, ist es zumindest denkbar.

    Gruß
    Jan
    Two hours of trial and error can save ten minutes of manual reading.

  3. #3
    Kunde
    Registriert seit
    14.02.2014
    Beiträge
    64

    AW: Verifizierungsmethoden

    Zitat Zitat von Enigma Beitrag anzeigen
    Es gibt nicht nur eine Registry. Wenn die letzte Domain eine andere Top-Level-Domain hat, ist es zumindest denkbar.
    Ok, Ok.. es sind alles .de Domains.

  4. #4
    Forenexperte
    Registriert seit
    05.01.2001
    Beiträge
    4.643

    AW: Verifizierungsmethoden

    Zitat Zitat von Enigma Beitrag anzeigen
    Es gibt nicht nur eine Registry
    Die Registry für die Domains und die Zertifizierungsstelle für das Zertifikat haben genau nichts miteinander zu tun.

  5. #5
    Forenexperte² (Reseller) Avatar von Enigma
    Registriert seit
    20.07.2001
    Beiträge
    18.323

    AW: Verifizierungsmethoden

    Zitat Zitat von rabe Beitrag anzeigen
    Die Registry für die Domains und die Zertifizierungsstelle für das Zertifikat haben genau nichts miteinander zu tun.
    Ja, sorry, man sollte nicht zwischen Tür und Angel lesen und posten...

    Ich nehme alles zurück, was ich je gesagt habe, und behaupte das Gegenteil!

    Gruß
    Jan
    Two hours of trial and error can save ten minutes of manual reading.

  6. #6
    Communityservice Avatar von Nils Dornblut
    Registriert seit
    15.10.2000
    Beiträge
    43.764

    AW: Verifizierungsmethoden

    Hallo bawuedv,

    das Thema ist leider wesentlich komplexer als wir so darstellen können. Es gibt insgesamt deutlich mehr Szenarien in welchen das System entscheidet, wie das Zertifikat zu validieren ist. Eine Auswahl können wir an dieser Stelle leider nicht anbieten in diesen Fällen. Dafür bitten wir um Verständnis. Ich verstehe auch ehrlich gesagt nicht warum das zu einem Problem wird? Solange ein Verfahren angeboten wird, sollte es doch eigentlich unproblematisch sein? Vom Gesamtkontext ist es in etwa so wie bei EC-Kartenzahlungen, wo auch viele Kriterien entscheiden, was möglich ist und Sie nicht zwischen PIN-Eingabe oder Unterschrift wählen können. Ähnlich ist es hier auch und daher können wir nicht immer die Auswahl ermöglichen.

    Mit freundlichen Grüßen

    Nils Dornblut
    Communityservice
    __________________
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

  7. #7
    Kunde
    Registriert seit
    14.02.2014
    Beiträge
    64

    AW: Verifizierungsmethoden

    Guten Abend Herr Dornblut,
    Zitat Zitat von Nils Dornblut Beitrag anzeigen
    das Thema ist leider wesentlich komplexer als wir so darstellen können.
    dem muss ich leider in diesem Fall widersprechen. Warum auch immer, waren im Kundenmenü -> Nameserver-Einstellungen -> Domain noch die Standard MX-Einträge vorhanden. Diese haben wir gelöscht und auf einmal war die Verifizierung via DNS TXT-Eintrag auch für diese Domain möglich. Das ist aus meiner Sicht nichts komplexes, oder? So was sollten doch die Spezialisten in der Technik wissen und kurz überprüfen können. Das hätte unterm Strich dem Kundenservice bzw. uns einiges an Zeit gespart.

    Zitat Zitat von Nils Dornblut Beitrag anzeigen
    Dafür bitten wir um Verständnis. Ich verstehe auch ehrlich gesagt nicht warum das zu einem Problem wird? Solange ein Verfahren angeboten wird, sollte es doch eigentlich unproblematisch sein?
    Es müsste primär für die Verifizierung entsprechend MX-Einträge, E-Mailadressen und evtl. Weiterleitungen eingerichtet und gepflegt werden. Was unserer Einschätzung (unnötiger) Arbeitsaufwand ist. Hingegen ein TXT-Eintrag im DNS-Server ist schnell gesetzt bzw. geändert und hat keinerlei Wartungsaufwand.


    Grüße,
    Daniel

  8. #8
    Communityservice Avatar von Nils Dornblut
    Registriert seit
    15.10.2000
    Beiträge
    43.764

    AW: Verifizierungsmethoden

    Zitat Zitat von bawuedv Beitrag anzeigen
    Guten Abend Herr Dornblut,

    dem muss ich leider in diesem Fall widersprechen. Warum auch immer, waren im Kundenmenü -> Nameserver-Einstellungen -> Domain noch die Standard MX-Einträge vorhanden. Diese haben wir gelöscht und auf einmal war die Verifizierung via DNS TXT-Eintrag auch für diese Domain möglich. Das ist aus meiner Sicht nichts komplexes, oder?
    Doch, Sie bestätigen das ja auch. Nameservereinträge können sehr unterschiedlich sein und durchaus komplexe Situationen schaffen, die man nicht alle zuverlässig automatisiert abprüfen kann. Auch kann es durchaus Nebenwirkungen verursachen, wenn welche gelöscht werden. Das wiederum ist aber vom Einsatzszenario abhängig. Es ist einerseits schwierig dafür passende Algorithmen zu schaffen und auch bringt es effektiv kaum Vorteile und andererseits müssten dann die Anweisungstexte lang sein und mit vielen Nebenbedingungen verknüpft werden. Natürlich können unsere Techniker sagen wie es im konkreten Fall gehen könnte, wenn sie sich das länger ansehen. Eine solche Detailprüfung ist aber zeitintensiv und somit teuer. Dem gegenüber muss man den Gegenwert stellen und wenn eine adäquate Methode zur Verfügung steht, die genutzt werden kann, spricht gegen diese Anwendung eigentlich nichts.
    So was sollten doch die Spezialisten in der Technik wissen und kurz überprüfen können. Das hätte unterm Strich dem Kundenservice bzw. uns einiges an Zeit gespart.
    Wie gesagt, was hätte das gespart im Vergleich zur anderen Methode? Eben kurz sind solche Dinge aufgrund der vielfältigen Möglichkeiten leider nicht machbar. Es kann auch noch an diversen anderen Dingen liegen.
    Es müsste primär für die Verifizierung entsprechend MX-Einträge, E-Mailadressen und evtl. Weiterleitungen eingerichtet und gepflegt werden. Was unserer Einschätzung (unnötiger) Arbeitsaufwand ist. Hingegen ein TXT-Eintrag im DNS-Server ist schnell gesetzt bzw. geändert und hat keinerlei Wartungsaufwand.
    Der Unterschied und der im Regelfall einmalige Aufwand sollte jetzt nicht so groß sein nach unserer Einschätzung und Erfahrung. Wenn es einfach und direkt möglich ist, biten wir die Methoden entsprechend ja auch an. Es tut uns leid, dass wir Ihrem Anspruch da nicht gerecht werden konnten. Sollte es Möglichkeiten der Verbesserung unserer automatisierten Möglichkeiten geben, werden wir diese auch integrieren. Wir bitten jedoch um Verständnis dafür, dass Dinge im Gesamtzusammenhang sich leider nicht so einfach auflösen lassen wie in manchen einzelnen Fällen.

    Mit freundlichen Grüßen

    Nils Dornblut
    Communityservice
    __________________
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

  9. #9
    Kunde
    Registriert seit
    14.02.2014
    Beiträge
    64

    AW: Verifizierungsmethoden

    Zitat Zitat von Nils Dornblut Beitrag anzeigen
    Doch, Sie bestätigen das ja auch. Nameservereinträge können sehr unterschiedlich sein und durchaus komplexe Situationen schaffen, die man nicht alle zuverlässig automatisiert abprüfen kann. Auch kann es durchaus Nebenwirkungen verursachen, wenn welche gelöscht werden. Das wiederum ist aber vom Einsatzszenario abhängig
    Sie definieren Komplexität in diesem Fall anders als ich. Liegt evtl. daran, dass Sie den Prozess "SSL-Zertifikat" wahrscheinlich bis in die Haarspitze kennen.

    Zitat Zitat von Nils Dornblut Beitrag anzeigen
    Eine solche Detailprüfung ist aber zeitintensiv und somit teuer. Dem gegenüber muss man den Gegenwert stellen und wenn eine adäquate Methode zur Verfügung steht, die genutzt werden kann, spricht gegen diese Anwendung eigentlich nichts.
    Aus Kundensicht bin ich der Meinung, dass solche einfache Entscheidungswege wie der MX-Rekord der technische Support kennen muss. Solche wichtigen/wiederkehrenden Themen werden sicherlich als Prozess (auch grafisch) erfasst, oder?
    Warum dem Kunden überhaupt die Verifizierung per DNS TXT-Eintrag, bei existierenden MX-Eintrag vorenthalten wird, erschließt sich mir nicht. Macht das komplette Verfahren bzw. Abfragen umfangreicher und fehleranfällig.

    Zitat Zitat von Nils Dornblut Beitrag anzeigen
    Der Unterschied und der im Regelfall einmalige Aufwand sollte jetzt nicht so groß sein nach unserer Einschätzung und Erfahrung
    Wir dokumentieren nahe zu alles. Somit gibt es querverweise in den verschiedenen Dokumenten. Was zur Folge hat, dass bei Änderungen die verknüpften Elemente auch geprüft werden müssen. Somit ergibt sich automatisch ein wiederkehrenden Aufwand. Da ist der DNS TXT-Eintrag dagegen ein minimaler Aufwand.

  10. #10
    Communityservice Avatar von Nils Dornblut
    Registriert seit
    15.10.2000
    Beiträge
    43.764

    AW: Verifizierungsmethoden

    Zitat Zitat von bawuedv Beitrag anzeigen
    Sie definieren Komplexität in diesem Fall anders als ich. Liegt evtl. daran, dass Sie den Prozess "SSL-Zertifikat" wahrscheinlich bis in die Haarspitze kennen.
    Sicher bei weitem nicht, hier muss man in die Implementierung schauen, um es genau nachvollziehen zu können. Und es sind halt viele Bedingungen entscheidend, die man auf einen konkreten Kunden bezogen nicht kennt.

    Aus Kundensicht bin ich der Meinung, dass solche einfache Entscheidungswege wie der MX-Rekord der technische Support kennen muss. Solche wichtigen/wiederkehrenden Themen werden sicherlich als Prozess (auch grafisch) erfasst, oder?
    Warum dem Kunden überhaupt die Verifizierung per DNS TXT-Eintrag, bei existierenden MX-Eintrag vorenthalten wird, erschließt sich mir nicht. Macht das komplette Verfahren bzw. Abfragen umfangreicher und fehleranfällig.
    Der Algorithmus prüft die verschiedenen Optionen anhand von Eingangsparametern und in Absprache mit dem Zertifikatspartner die Möglichkeiten. Hier wird dann im Zweifelsfall nur die Option angeboten, die hohe Erfolgsaussichten hat. Fehler sollen möglichst vermieden werden und wir prüfen im Support eher in seltenen Fällen solche Dinge wie Sie hier beschreiben. Da kann man auch nicht umfangreiche Entscheidungsbäume abprüfen.

    Wir dokumentieren nahe zu alles. Somit gibt es querverweise in den verschiedenen Dokumenten. Was zur Folge hat, dass bei Änderungen die verknüpften Elemente auch geprüft werden müssen. Somit ergibt sich automatisch ein wiederkehrenden Aufwand. Da ist der DNS TXT-Eintrag dagegen ein minimaler Aufwand.
    Machen sie das gerne und nutzen Sie Ihr Wissen diesbezüglich für zukünftige Bestellungen. Ich hoffe, dass die Fälle bei Ihnen möglichst gleich gelagert sind, damit es später genauso exakt wieder passt

    Mit freundlichen Grüßen

    Nils Dornblut
    Communityservice
    __________________
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •