empfohlener Browser für Zertifikatsdownload bei KocoBox [GELÖST]

[lcer]

Hallo,

gibt es einen aktuellen Browser, mit dem man die Clientzertifikate nach der Generierung heruntergeladen bekommt? Was ich erfolglos probiert habe:
Microsoft Edge für Business (aktuelle Version)
Firefox ESR (aktuelle Version)

Womit geht das? Oder gibt es eine Sicherheitsfunktion, die man deaktivieren muss?

Grüße

lcer

[Thomas]

Moin Icer,

dazu gibt es schon ein paar Threads, z.B.

viewtopic.php?p=68993#p68993

oder

viewtopic.php?p=67926

oder hier

viewtopic.php?p=67411#p67411

Viel Erfolg!
Thomas

[lcer]

Hallo Thomas,

die habe ich alle gelesen. Das löst leider nicht das Problem, dass es nunmehr seit einem Jahr keinen aktuellen!! Browser zu geben scheint, bei dem das Downloaden "wie man es erwartet" funktioniert.

Die Javascript-Variante ist auch nicht so richtig "toll", insbesondere deshalb, weil man die Verschlüsselungstypen letztlich per Text angibt.

Weiss jemand, was CGM aktuell dazu sagt?

Grüße

lcer

[CGM-FTW]

Thomas hat hier nur ausgeholfen und ist sicherlich nicht der Buhmann, der das Problem 10 Jahre gekonnt ignoriert hat.

Du kannst den Verschlüsselungstypen per Copy and Paste aus der Javascript Meldung übernehmen. Selbst versehentlich mitkopierte Leerzeichen werden entfernt.

Wenn du häufiger Zertifikate generieren musst, dann kannst du den Quellcode so verändern, dass dein favorisierter Verschlüsselungstyp bereits voreingetragen ist. Dafür musst du nur den bisher voreingetragenen String suchen und durch deinen favorisierten ersetzen. Kein Hexenwerk für jemanden, der sich zutraut in der TI Zertifikate zu generieren und auszurollen.

Die Konnektor Firmware die das fixt steht "in den Startlöchern", die Freigabe ist aber noch nicht durch. In RU läuft sie bereits, weil hier keine Freigabe durch die Gematik erforderlich ist.

[lcer]

Thomas hat hier nur ausgeholfen und ist sicherlich nicht der Buhmann, der das Problem 10 Jahre gekonnt ignoriert hat.

War so nicht gement!

Du kannst den Verschlüsselungstypen per Copy and Paste aus der Javascript Meldung übernehmen. Selbst versehentlich mitkopierte Leerzeichen werden entfernt.

Wenn du häufiger Zertifikate generieren musst, dann kannst du den Quellcode so verändern, dass dein favorisierter Verschlüsselungstyp bereits voreingetragen ist. Dafür musst du nur den bisher voreingetragenen String suchen und durch deinen favorisierten ersetzen. Kein Hexenwerk für jemanden, der sich zutraut in der TI Zertifikate zu generieren und auszurollen.

Nein, kein Hexenwerk. Dumm dabei ist nur, dass die verfügbaren Verschlüsselungstypen von der Konnektorfirmware abhängen. Um es sauber zu gestalten, müsste man jedesmal prüfen, ob die sich der Seitenquelltext geändert hat:

Code: Alles auswählen

    <div>
        <span id="TT__CS_ID" class="input-label tooltip-f" title="">Clientsystem-ID:</span>
            <input id="CCERT_CS_ID" class="easyui-textbox textbox-f" data-options="required:true,validType:'infomodellid'" style="display: none;"><span class="textbox textbox-invalid" style="width: 151px;"><input id="_easyui_textbox_input7" type="text" class="textbox-text validatebox-text validatebox-invalid textbox-prompt" autocomplete="off" tabindex="" placeholder="" style="margin: 0px; padding-top: 0px; padding-bottom: 0px; height: 28px; line-height: 28px; width: 149px;"><input type="hidden" class="textbox-value" value=""></span>
        <div>
            <input id="ZERTIFIKAT_MODUS__KONNEKTOR" name="ZERTIFIKAT_MODUS" class="easyui-validatebox koco-radio validatebox-text" type="radio" value="KONNEKTOR" onclick="Clientsysteme.onChangeClientCertificateMode(this)" checked="">Zertifikat
            durch
            Konnektor erzeugen lassen
            <div id="CLIENT_ZERTIFIKAT_CREATE_INFO_GROUP" class="authentication-info-div" style="display: inherit;">
                <input id="CLIENT_ZERTIFIKAT_TYPE__RSA_2048" name="ZERTIFIKAT_TYP" class="easyui-validatebox koco-radio validatebox-text" type="radio" value="RSA_2048">RSA (2048)
                <input id="CLIENT_ZERTIFIKAT_TYPE__RSA_3072" name="ZERTIFIKAT_TYP" class="easyui-validatebox koco-radio validatebox-text" type="radio" value="RSA_3072" checked="">RSA (3072)
                <span id="OPTION_TYPE__ECC" class="authentication-info-div" style=""><br>
                            <input id="CLIENT_ZERTIFIKAT_TYPE__ECC" name="ZERTIFIKAT_TYP" class="easyui-validatebox koco-radio validatebox-text" type="radio" value="ECC_BRAINPOOL_P256_R1">ECC (brainpoolP256r1)<br>
                            <input id="CLIENT_ZERTIFIKAT_TYPE__ECC_NIST" name="ZERTIFIKAT_TYP" class="easyui-validatebox koco-radio validatebox-text" type="radio" value="ECC_NIST">ECC (secp256r1)
                        </span>
            </div>
        </div>
    </div>

Dann muss man ggf. die Bezeichner im Skript ersetzen.

Die Konnektor Firmware die das fixt steht "in den Startlöchern", die Freigabe ist aber noch nicht durch. In RU läuft sie bereits, weil hier keine Freigabe durch die Gematik erforderlich ist.

Das wollte ich hören.

Grüße & Danke

lcer

[CGM-FTW]

Der Fix ist für die zur Zeit einzige zugelassene Konnektorfirmware gemacht.
Für die nächste wird er nicht mehr gebraucht.

Insofern stimmt es nicht, dass man regelmäßig prüfen muss, ob sich etwas geändert hat.

[lcer]

Der Fix ist für die zur Zeit einzige zugelassene Konnektorfirmware gemacht.
Für die nächste wird er nicht mehr gebraucht.

Insofern stimmt es nicht, dass man regelmäßig prüfen muss, ob sich etwas geändert hat.

Stimmt. Aber trotzdem bitte nicht so tun, als wäre es "normal". Das ist und bleibt Pfusch, ist kein Fix sondern ein Workaround.
Und es ist auch nicht toll, dass man den kennt. Es ist eher traurig, dass man so etwas wissen muss.


Grüße

lcer

[ivenae]

Dann wende dich am besten direkt an die CGM und teile denen mit, was du von deren Produkten hältst.
Zuständig für Telematik müsste Herr Wemmel sein. (Vornamen bitte googeln)
Wenn ich mir die E-Mail Adressen in dem Laden ansehe, sollte vorname.nachname@cgm.com passen. Dann kannst du ihm direkt eine E-Mail schreiben.

Bleib sachlich, das sollte am meisten helfen.
Aber das Management dort sind Sparfüchse, die mit ihrer Enshitification selbst Branchenriesen wie Microsoft oder Amazon um Jahre voraus sind. Das dient eher dem Dampfablassen und sollte nur wenig Hoffnung bereiten, dass das dank deiner E-Mail alles besser wird. Wir sind in einem Turbomed Forum, d.h. wir kennen alle Turbomed. Das ist nicht erst seit gestern so.

[lcer]

Hallo CGM-FTW und ivenae,

danke für die Bemühungen, ich habe es verstanden.

Wann meint Ihr, kann ich hier im Forum wieder nachfragen, ob sich etwas Neues diesbezüglich ergeben hat? Nach dem nächsten Firmwareupdate des Konnektors? Oder lieber gar nicht, da wir alle ja die Qualität der CGM-Lösungen kennen?

Nur mal als Idee - ich hätte mich über eine Antwort wie diese gefreut:

Der Download funktioniert stand heute mit keinem aktuellen Browser. Die Ursache liegt in der fehlerhaften Firmware der KocoBox. Ein Firmwareupdate ist geplant, aber es wurde noch kein Zeitpunkt dafür veröffentlicht. Bis dahin kann man einen Workaround nutzen (LINK).

Aber vielleicht habe ich auch nicht mitbekommen, dass sich hier im Forum einiges geändert hat und habe falsche Erwartungen. Anrede und Gruß sind ja auch nicht mehr üblich.

Trotzdem Grüße

lcer

[FortiSecond]

Hi @lcer,

in der Tat habe ich mich zurückgehalten, etwas zu der Problematik zu schreiben (wie mindestens ein weiterer User auch).

Das hat den einfachen Grund, dass es mir zunächst nahezu unmöglich erschien, zum Thema "Kocobox und Zertifikatsdownload" eine hilfreiche Antwort zu verfassen, ohne gleich zur Zielscheibe zivilrechtlicher Schritte zu werden.
Als ich dann einigermaßen geeignete Worte finden konnte, ohne das Funktionieren unseres Staatsapparats in Frage zu stellen oder Mutmaßungen hinsichtlich der Befähigung und der Integrität von beteiligten Entitäten zu äußern - ohne dabei die Meinungsfreiheit übermäßig zu strapazieren-, waren bereits die ersten nüchtern-sachlichen Antworten hier zu finden.

CGM-FTW hat nüchtern und wertfrei einen Workaround beschrieben. Dass er die Qualität der Firmware der Kocobox nicht in Frage stellt, ist sein gutes Recht oder gar Pflicht. Spielt für mich keine Rolle: Ich bin sehr dankbar für seine sachlichen und fachlich bemerkenswerten Beiträge.

ivanae hat sowohl auf eine der wenigen Möglichkeiten hingewiesen, sich Gehör zu verschaffen und zugleich den Erwartungshorizont ein wenig, sagen wir "fatalistisch", vorgezeichnet. Vielleicht passt desillusioniert besser.

Am Forum hat sich nichts geändert, außer dass einige neu hinzugekommen sind, andere aus verschiedensten Gründen den Hut genommen haben. Und zu diesen Gründen kann auch die Entwicklung der PVS-Kundenzahlen beigetragen haben. Andere haben aufgegeben...

Das alte Sprichwort "Solange der Kunde sich beschwert, hat er Hoffnung auf Besserung und ist nicht verloren" ist nett und sollte eigentlich einen Leitsatz für guten Kundensupport darstellen.
Das ist die eine Sichtweise. Die andere lautet allerdings: Solange der Kunde sich beschwert, aber die Rechnung bezahlt, sind wir aus Kevlar, unsere Haut aus Polytetrafluorethylen.


Und meine ganz persönliche, sachliche Meinung (aus o.g. Gründen mit kuschelweich gespült):
Im Jahr 2025 ein Produkt zu betreiben bzw. dies überhaupt zu dürfen, in einer Umgebung mit inhärenter Einstufung unter KRITIS, das kundenseitig nur per Installation eines seit mehreren Jahren veralteten und potenziell Sicherheitslücken schaffenden Browsers vollständig gemäß Anleitung genutzt werden kann (womöglich aus ungeprüfter Quelle, weil es beim Herausgeber nicht/kaum aufzufinden ist), halte ich für... puh... ähm... "1 P1mmele1".

Da ist das Skript, das kaum jemand hier selbst hätte entwickeln können und das eben nicht diverse Sicherheitsmechanismen aushebelt, ein echter Segen. Vermutlich nutzt CGM bzw. nutzen die VSP es ebenfalls, um nicht beim Kunden o.g. Browser zu installieren.
Einziger Nachteil, dass es existiert, könnte sein, dass es sonst längst eine Firmware für die Kacabax gegeben hätte, die auf einem aktuellen System jederzeit und auf sicherem Weg das Sicherheitszertifikat herausgibt, mit dem man die Kommunikation zwischen PVS und der Telematik-Infrastruktur standesgemäß absichern kann. Das hätte CGM sicher mit der Priorität umgesetzt, die man sonst nur von den Preisanpassungen kennt. *hust*

Off-topic

Anekdote: Vor kurzem hat eine KV den Praxen für DRG-Hybrid eine Windows-App (msixbundle) ganz offiziell bereitgestellt. Diese App war mit einem Testzertifikat signiert (Visual Studio? Installer? Weiß ich gerade nicht). Da schreit jedes Windows, da meckert der Virenscanner - aber die Installation klappt je nach System nur nach Aushebeln von Windows-Schutzfunktionen.
Und weil das Progrämmchen erheblich viel Arbeit bei Fallerfassung spart (es geht um Upload von Patientendaten!), gibt es sicher Praxen, wo der Nutzen jegliche Sicherheitsbedenken weggewischt hat.
Meines Wissens wurde das Programm inzwischen zurückgezogen. Da hat wohl jemand kalte Füße bekommen. Technisch schien es ansonsten sauber (hab´s in einer Sandbox untersucht). Irgendjemand, vermutlich ein gut (vom KV-Verwaltungskostenanteil?) bezahltes Softwarehaus, meinte hier wohl, ein paar Euro oder Stunden für ein ordentliches Zertifikat sparen zu können.
Und zur Einordnung: Ich meine nicht die normale Smartscreen-Warnung, die man bei "kleineren" Programmen hier und da findet. Ich meine eine UWP-App, für die man mehr als nur "Trotzdem ausführen" klickt, um sie installieren zu können.

Have a nice evening
FortiSecond

[FortiSecond]

Weiss jemand, was CGM aktuell dazu sagt?

Ich höre mich mal um.
Vielleicht weiß ja jemand, was man bei CGM darüber denkt, aber nicht sagt.
Denn ich habe keine Ahnung, bin absolut frei von Ideen.

Vielleicht sollte ich mal wieder was an Musik hören. Soll ja das Denken anregen. Mal sehen, was meine Jukebox heute raushaut.
Ah, da ist schon was:

Code: Alles auswählen

https://www.youtube.com/watch?v=gExngsb-5vI

Have a nice evening

[CGM-FTW]

> Kacabox

YMMD!