2
08.12.2020
Adam Fratczak

SCHUFA: Wichtige Änderungen bei Verschlüsselung und Zertifikaten

Die SCHUFA hat mit dem Newsletter vom 22.10.2020 die Abschaltung von TLS 1.0 und TLS 1.1 im Produktivsystem angekündigt. Die Abschaltung erfolgt zum 14.01.2021.

Des Weiteren stellt die SCHUFA ab dem 01.01.2021 nur noch Zertifikate aus, die auf mindestens 2048-Bit-Schlüsseln basieren.

Zum 28.03.2021 wird zudem das Betriebszertifikat für SIML1 (G3-SCHUFA-Schnittstelle) ungültig und muss im Dateisystem von IKAROS ausgetauscht werden.

Abschaltung von TLS 1.0 und TLS 1.1 im SCHUFA-Produktivsystem

Die Abschaltung von TLS 1.0 und TLS 1.1 betrifft ausschließlich die G3-SCHUFA-Schnittstelle. Die G4-SCHUFA-Schnittstelle ist hiervon nicht betroffen.

Die G3-SCHUFA-Schnittstelle tauscht Dateien mit der SCHUFA mittels des SSH-Tectia-Clients aus. Die mit dem Client an die SCHUFA übertragenen Dateien müssen im Anschluss noch mit der G3-SCHUFA-Schnittstelle bei der SCHUFA zur Verarbeitung über einen HTTPS-Webrequest angemeldet werden. Dieser HTTPS-Webrequest wird zum Zeitpunkt der Abschaltung von TLS 1.0 und TLS 1.1 scheitern, da die G3-SCHUFA-Schnittstelle bislang fest TLS 1.0 verwendet.

Damit Sie ab dem 14.01.2021 weiterhin Dateien mit der G3-SCHUFA-Schnittstelle an die SCHUFA senden und von der SCHUFA empfangen können (einschließlich des Abholens von Nachmeldungen), haben wir Ihnen Ergänzungs-Patchs auf unserem FTP-Server zur Verfügung gestellt:

Bitte laden Sie das zu Ihrer IKAROS-Version passende Zip-Archiv herunter und entpacken Sie die darin befindlichen Programmdateien in Ihren IKAROS-Umgebungen jeweils ins Unterverzeichnis „IKAROS-Auskunftei“, sodass bereits vorhandene gleichnamige Dateien überschrieben werden. Erstellen Sie im Zweifelsfall vorher eine Sicherungskopie der alten Programmdateien/des gesamten Ordners.

Alternativ, oder falls Sie eine ältere Version als die o. g. verwenden, können Sie die G3-SCHUFA-Schnittstelle auch durch das Setzen bestimmter Registrierungsschlüssel zur Verwendung der Betriebssystemvorgabe zwingen. Hierbei ist allerdings zu beachten, dass diese Einstellung zunächst für alle .NET 2.0-Applikationen gilt und nur über weitere zu setzende Registrierungsschlüssel für einzelne .NET 2.0-Applikationen wieder deaktiviert werden kann.

Für weitere Details verweisen wir auf folgende Webseite: https://support.microsoft.com/en-us/help/3154517/support-for-tls-system-default-versions-included-in-the-net-framework

Damit sowohl die Ergänzungs-Patchs als auch die Alternativlösung (Setzen bestimmter Registrierungsschlüssel) funktionieren, müssen folgende Mindestvoraussetzungen erfüllt sein:

  • Das Windows-Betriebssystem der Rechner, mit denen Sie den Dateiaustausch bzw. das Abholen der Nachmeldungen mit der SCHUFA über die G3-SCHUFA-Schnittstelle ausführen, muss mindestens Windows Vista SP2 oder Windows Server 2008 SP2 sein.
  • Die genannten Betriebssystemversionen müssen hinsichtlich Updates auf dem aktuellen Stand sein. Alternativ folgen Sie bitte dem o. g. Link und installieren Sie das für Ihren Rechner passende Update-Paket.

Bitte beachten Sie, dass TLS 1.2 bereits heute im Produktivsystem der SCHUFA verfügbar ist. Sie können die o. g. Lösungen (Ergänzungs-Patchs oder Registrierungsschlüssel) ab sofort einsetzen.

Persönliche Zertifikate mit 2048 Bit Schlüssellänge

Ab dem 01.01.2021 können persönliche Zertifikate nicht länger mit dem SCHUFA-Zertifikatsmanager verlängert werden. Dies hat den Hintergrund, dass der SCHUFA-Zertifikatsmanager lediglich Zertifikate mit einer Schlüssellänge von 1024 Bit ausstellt. Für neu ausgestellte oder neu verlängerte Zertifikate fordert die SCHUFA ab dem 01.01.2021 eine Schlüssellänge von 2048 Bit. Noch gültige Zertifikate können hingegen auch mit geringeren Schlüssellängen bis zu ihrem Ablauf weiterverwendet werden.

Zu diesem Zweck kann das SCHUFA Zertifikate-Portal verwendet werden. Für dieses Portal benötigen Sie persönliche Login-Daten. Wenden Sie sich dazu bitte an den Technischen Vertragspartner-Support Wiesbaden unter der Telefonnummer: +49 (0)611 – 9278 630, VP-Anbindung@schufa.de.

Sowohl die G3- als auch die G4-SCHUFA-Schnittstelle funktionieren bereits mit persönlichen Zertifikaten der Schlüssellängen 1024 und 2048 Bit, Anpassungen sind hierfür IKAROS-seitig nicht notwendig.

Gültigkeit des SIML1-Betriebszertifikats

Zum 28.03.2021 läuft zudem das Betriebszertifikat für SIML1 aus. Hiervon betroffen ist ausschließlich die G3-SCHUFA-Schnittstelle. Das neue Zertifikat wird voraussichtlich ebenfalls mit einer Schlüssellänge von 2048 Bit ausgestellt.

Wir gehen momentan davon aus, dass die Änderung der Schlüssellänge keine Auswirkung auf die Funktionalität der G3-SCHUFA-Schnittstelle hat.

Sobald die SCHUFA das neue Betriebszertifikat in der SCHUFA-Testumgebung ausrollt (voraussichtlich Mitte Januar 2021), werden wir erneut testen und über die Ergebnisse und mögliche Konsequenzen informieren.

Der Pfad zum Betriebszertifikat ist in der Systemeinstellung „SCHUFAZertifikatVerzeichnis“ der G3-SCHUFA-Schnittstelle hinterlegt. Im Dateiverzeichnis muss an dieser Stelle das neue Betriebszertifikat ausgetauscht werden. Die SCHUFA stellt Ihnen das neue Betriebszertifikat rechtzeitig vor Ablauf zur Verfügung.