[Fehlalarm/gelöst] T2med und Secunet 5.7 und E-Rezept - ouch?!
Verfasst: Dienstag 21. Oktober 2025, 13:06
Folgende Situation:
Konnektor (secunet) macht Update auf Version 5.70.6.
T2med signiert keine E-Rezepte mehr (Fehlermeldungen)
Diverse Versuche:
- T2med-Update von 25.9.3 auf 25.10.3 mit Neustarts usw.
- Vollständige ECC-Umstellung (lt. T2 ist Konnektor nicht ECC-fähig, Rest schon, nun ja)
- KIM kv.dox re-registriert (verdachtsweise, aber gleich mit auf ECC)
- VPN-ZugD re-registriert (ECC, RSA)
Und in allerlei Variationen nahezu jede denkbare, halbwegs plausible Konstellation geprüft (stundenlang).
Auffälligkeit a:
Im Konnektor werden alle Zertifikatstests problemlos durchlaufen (gültig lt. OCSP)
Aber wenn ich auf die gSMC-KT der diversen Kartenleser gehe und einzeln prüfe, dann ist es UNGÜLTIG (OCSP), egal ob vorher in der Übersicht das Zertifikat des KT als gültig gezeigt wurde.
Übersicht: Detail: Auffälligkeit b:
Im Logfilevon T2med wird ein Fehler beim Identity Provider bemängelt. Da scheint die Antwort ungültig zu wirken ---
Änderungen Secunet 5.70.6, Release Notes, der zweite Abschnitt ist interessant und beschreibt veränderte Rückmeldungen: (Der erste Absatz ist aus anderen Gründen enthalten, hier nicht relevant. Die PDF verbietet Extraktion, hatte aber keine Lust auf OCR)
---
Verdacht a)
Bug im Secunet (Konnektor selbst strauchelt an einer Stelle an den OCSP-Responses)
Verdacht b)
Möglicherweise "verträgt" T2 die neuen OCSP-Rückmeldungen (noch) nicht.
Aktuelle Umgehungsidee für b (noch nicht umgesetzt, weil nur Verdacht):
Downgrade des Konnektors, bis T2 mit den neuen OCSP-Responses umgehen kann.
Konnektor (secunet) macht Update auf Version 5.70.6.
T2med signiert keine E-Rezepte mehr (Fehlermeldungen)
Diverse Versuche:
- T2med-Update von 25.9.3 auf 25.10.3 mit Neustarts usw.
- Vollständige ECC-Umstellung (lt. T2 ist Konnektor nicht ECC-fähig, Rest schon, nun ja)
- KIM kv.dox re-registriert (verdachtsweise, aber gleich mit auf ECC)
- VPN-ZugD re-registriert (ECC, RSA)
Und in allerlei Variationen nahezu jede denkbare, halbwegs plausible Konstellation geprüft (stundenlang).
Auffälligkeit a:
Im Konnektor werden alle Zertifikatstests problemlos durchlaufen (gültig lt. OCSP)
Aber wenn ich auf die gSMC-KT der diversen Kartenleser gehe und einzeln prüfe, dann ist es UNGÜLTIG (OCSP), egal ob vorher in der Übersicht das Zertifikat des KT als gültig gezeigt wurde.
Übersicht: Detail: Auffälligkeit b:
Im Logfilevon T2med wird ein Fehler beim Identity Provider bemängelt. Da scheint die Antwort ungültig zu wirken ---
Änderungen Secunet 5.70.6, Release Notes, der zweite Abschnitt ist interessant und beschreibt veränderte Rückmeldungen: (Der erste Absatz ist aus anderen Gründen enthalten, hier nicht relevant. Die PDF verbietet Extraktion, hatte aber keine Lust auf OCR)
---
Verdacht a)
Bug im Secunet (Konnektor selbst strauchelt an einer Stelle an den OCSP-Responses)
Verdacht b)
Möglicherweise "verträgt" T2 die neuen OCSP-Rückmeldungen (noch) nicht.
Aktuelle Umgehungsidee für b (noch nicht umgesetzt, weil nur Verdacht):
Downgrade des Konnektors, bis T2 mit den neuen OCSP-Responses umgehen kann.