Was bedeutet die Meldung?

Diese Meldung steht im Zusammenhang mit der "sicheren Verbindung", die seitens der DB Netz AG durch Verwendung des Protokolls "https" für den Datenaustausch angestrebt wird. Die FBS-TPN-Schnittstelle kontaktiert für den Datenaustausch den Server der DB Netz AG. Der Server dort zeigt ein Zertifikat, welches einen Validierungsdienst referenziert. Die Schnittstelle kontaktiert daher als nächstes den Validierungsdienst, um sich die Echtheit des Zertifikats bestätigen zu lassen. Meist ist das bisher die Firma Verisign. Das bedeutet hier konkret: Die Schnittstelle baut eine Verbindung zu verisign.com auf. Diese Verbindung ist es, die der Mehlermeldung zufolge nicht funktioniert.

Das Protokoll für den Validierungsdienst nennt sich OCSP. Wenn Sie sich z. B. in der örtlichen "Firewall" anzeigen lassen, welche Netzwerkkontakte vom FBS-TPN-Schnittstellenprogramm (FBS_TPN.exe) versucht werden, sollte Sie dort einen Kontakt zu verisign.com finden (der blockiert wird).

Ein regelmäßiges Problem könnte entstehen, wenn zwar die URL verisign.com in der Firewall freigegeben wird, der von DB Netz verwendete Validierungsdienst sich aber zukünftig jederzeit ändern kann. Es ist möglicherweise ein im Netzwerkverkehr allgemein unbefriedigend gelöstes Problem, wie man mit potentiell wechselnden und neuen Validierungsdiensten umgeht.

Wie kann der Meldung entgegengewirkt werden?

Im Folgenden finden Sie zur Behebung einige Hinweise und Hintergrundinformationen. Kontaktieren Sie im Zweifelsfalle bitte Ihren Systemadministrator:

• Prüfen Sie bitte, ob der Netzwerkzugang an sich funktioniert. Es kann sein, dass der Validierungsdienst nur "die Spitze des Eisbergs" ist, d.h. dass auch andere Netzwerkadressen nicht funktionieren würden, die das Programm aber erst nach dem Validierungsdienst aufruft.

Wenn der Validierungsdienst (OCSP) wirklich die Meldung auslöst ist, gibt es folgende Möglichkeiten:

• Ermöglichen Sie dem Programm den Kontakt zum OCSP-Server des Validierungsdienstes, indem die jeweilige Netzwerkadresse in der "Firewall" Ihres Unternehmens freigegeben wird. Der Validierungsdienst wird von DB Netz in deren Zertifikat benannt. Meist ist das bisher die Firma Verisign.

ODER

• Aktualisieren Sie die Stammzertifikate Ihres Windows-Betriebssystems, so dass der Validierungsdienst nicht online kontaktiert zu werden braucht (Windows, Systemsteuerung - Aktualisierung von Stammzertifikaten). Achten Sie darauf, dass in der Konfiguration des FBS-TPN-Schnittstellenprogramms die Option "Windows-Zertifikatsspeicher verwenden" eingeschaltet ist, indem unter Konfiguration --> Zugangsdaten --> "Datenübertragung und -verschlüsselung" entweder "Standard-Einstellungen verwenden" oder direkt die genannte Option eingeschaltet ist.

ODER

• Um einzuschränken, dass die Fehlerursache tatsächlich an der Zertifikatsvalidierung liegt, können Sie die Verwendung des Validierungsdienstes und/oder die gesamte Zertifikatsprüfung vorübergehend (testweise) abschalten. Dies ist ausdrücklich nicht empfohlen, da damit die von DB Netz durch die Verwendung von "HTTPS" angestrebte Sicherheit zumindest teilweise unterlaufen würde. Wenn Sie es dennoch versuchen möchten, können Sie unter Konfiguration --> Zugangsdaten --> "Datenübertragung und -verschlüsselung" --> "folgende Einstellungen verwenden" die Optionen "Zertifikate prüfen" und/oder "Validierungsdienst (OCSP) verwenden" ausschalten.

Allerdings sollte dies nur zum Ermitteln der Ursache verwendet werden. Keinesfalls können wir empfehlen, längerfristig mit ausgeschalteter Zertifikatsvalidierung zu arbeiten, weil dann das Sicherheitsprinzip unterlaufen wird und der Sinn der Verwendung von "HTTPS" nicht mehr gegeben ist.

Wie kann man herauszufinden, welches konkrete Zertifikat die Meldung auslöst? (Anleitung für Systemadministratoren)