Erste Mail von SAI / Swisscom (1.10.2014)
Liebe Kolleginnen und Kollegen
Ausgangslage
Vergangene Woche hat Google ohne Ankündigung eine Änderung vorgenommen: Neu werden Suchanfragen nicht mehr über das http- sondern über https-Protokoll versendet. Dies verbessert grundsätzlich die Sicherheit und den Persönlichkeitsschutz des Anwenders.
Diese Neuerung hat jedoch einen Einfluss auf die Filterfunktion, die bei SAI zum Einsatz kommt: https-Verkehr wird aktuell nicht über unseren Web Content Screening Service geleitet, sondern gelangt direkt ins Internet, analog von Suchanfragen aus nicht WCS-geschützten Netzen. Der Effekt zeigt sich so, dass man in geschützten Netzen bei Google durchaus expliziten Inhalt in des Suchergebnissen anzeigen lassen kann (z.B. über die Bilder Suche). Das Anklicken auf ein Suchergebnis wird jedoch wieder konsequent gemäss den eingerichteten Einstellungen gefiltert. Da Google eine zentrale Web-Funktion ist, ist das Risiko, hier zu expliziten Inhalten zu gelangen, entsprechend gross.
Vorgehen
Die Erweiterung des WCS auf „https-Filtering“ war von unserer Seite für Anfang 2014 geplant. Damit der Filterdienst weiterhin erwartbare und zuverlässig gefilterte Ergebnisse liefert, haben wir uns entschieden, diese Umstellung vorzuziehen. Die Änderung wird bis ca. Ende dieser Woche dauern. Wir werden euch über den Fortschritt kontinuierlich informieren. Und wir werden umgehend mit der Umstellung beginnen.
Die Aktivierung dieser Funktion bedingt zwei Eingriffe:
- Zum einen wird Swisscom zentral für die betroffenen Netze den Service aufschalten.
- Zum zweiten werden die Browser beim Aufruf von https Seiten auf ein „nicht vertrauenswürdiges“ Sicherheits-Zertifikat aufmerksam machen. Dies beeinflusst die Qualität des Filter zwar nicht, ist aber kurzzeitig ein unschöner Effekt. Diesem kann mit der Installation eines solchen Root-Zertifikates entgegengetreten werden. Wir werden Euch nächstens das Zertifikat inkl. Anleitung zur Verfügung stellen.
Wir werden https-Traffic lediglich in diesen Kategorien filtern:
- Adult Material (Pornographie, etc.)
- Legal & Liability (Mögliche strafrechtlich relevante Inhalte)
- Web Search (Suchanfragen auf Suchseiten, bzw. deren Resultate)
Der übrige Traffic wird weiterhin nicht aufgebrochen und bleibt verschlüsselt. Das gilt für eBanking, Webmail, eCommerce Seiten oder auch Facebook und Co. Ob weiterer Traffic geblockt wird oder nicht, bleibt weiterhin Sache der jeweiligen Filtereinstellung der Schule/des Kantons.
Die Änderungen haben keine finanziellen Konsequenzen für Euch.
___
Erste Mail securepop (1.10.2014)
Sehr geehrte Damen und Herren,
Wie Sie bereits informiert wurden, fertigt Google neuerdings alle Suchanfragen standarmässig über verschlüsselte https Verbindungen ab. Dies führt dazu, dass kein „Safe Search“ enforcement mehr sichergestellt werden kann und somit unpassende Bilder als Suchresultate dargestellt werden können.
Aus diesem Grunde bieten wir Ihnen an, das Webfiltering für die SAI Netze so umzustellen, dass die entsprechenden Filter Regeln auch auf verschlüsseltem https Verkehr angewendet werden können (sog. „SSL Interception“). Sofern Sie SSL Interception in Ihrem SAI Netz möchten, wird diese in den nächsten Tagen auf der Cloud verfügbar gemacht.
Zur Aktivierung dieser Funktionalität muss auf jedem Endgerät innerhalb Ihres SAI-Bildungsnetzes das Cloud-Zertifikat "ZscalerRootCertificate-Current.crt", welches sich im Dateianhang dieser Email befindet, in den richtigen Zertifikatsspeicher ("Vertrauenswürdige Stammzertifizierungsstellen") importiert werden. Die Schritt-für-Schritt-Anleitung zum Zertifikatsimport in englischer Sprache "CSS_SSL_Certificate_Import_Guide.pdf" befindet sich ebenfalls im Dateianhang dieser Email.
Sobald die Cloud vorbereitet ist und Sie das Cloud-Zertifikat auf den Clients importiert haben, wird die Google SafeSearch-Funktion auch für https aktiv.
Die Installation des Zertifikates können sie zeitlich unabhängig von der Umstellung der Cloud vornehmen. Arbeitsplätze, auf denen das entsprechende Zertifkat nicht vorhanden ist, erhalten nach der Umstellung einen entsprechenden Warnhinweis. Auf die Funktion des Filterings hat dies jedoch keinen Einfluss. Grundsätzlich empfehlen wir, mit dem Roll-out der Zertifikate so rasch als möglich zu beginnen.
___
Zweite Mail securepop (2.10.2014)
Sehr geehrte Damen und Herren
Gestern haben wir ihnen das Cloud Zertifikat für die Installation auf den Arbeitsplätzen zugestellt. In der Nacht auf heute wurden wir darüber informiert, dass die Cloud Infrastruktur noch in diesem Jahr auf den neuen Verschlüsselungsstandard mit 2048-bit (heute 1024-bit) umgestellt wird. Der Hintergrund ist, das einige Webbrowser Versionen ab 2014 nur noch die 2048-bit Verschlüsselung unterstützen werden.
Um Ihnen doppelte Arbeit zu ersparen stellen wir ihnen das neue 2048-bit Zertifikat per sofort zur Verfügung. Wir bitten Sie daher gleich beide Zertifikate zu installieren. Damit ist die einwandfreie Funktion des Filterings auch im kommenden Jahr gewährleistet.
Da auf einigen Mailservern das gestern zugestellte Zertifikat blockiert wurde, haben wir ihnen zur Vereinfachung nochmals beide erforderlichen Zertifikate sowie die Anleitung in die ZIP Datei im Anhang eingefügt. Das Importverfahren ist für beide Zertifikate identisch. Das Passwort für die ZIP Datei lautet: SAICloud
Uns ist bewusst, dass sie möglicherweise bereits mit der Installation des aktuellen Zertifikats begonnen haben. Wir entschuldigen uns daher in aller Form für die unglückliche Überschneidung.
___
Zweite Mail von SAI / Swisscom (4.10.2014)
Liebe Kolleginnen und Kollegen
wir gelangen mit einem Update an Euch, mit diesen Informationen:
Statusbericht und Timing
SSL Redirect ist erfolgreich in der PreProduction Umgebung getestet worden. Damit werden wir per Montag 12:00h bereit sein, die einzelnen Netze kontinuierlich umzustellen. Wir planen die Arbeiten per Dienstagmittag abzuschliessen. Wir werden die Kantone, die momentan keine Ferien haben, priorisieren.
Seit Mittwoch seid Ihr im Besitz der beiden Zertifikate, die bereits jetzt oder nach der Umstellung auf allen Clients in den Netzen installiert werden können. Wichtig: Auch, wenn die Zertifikate nicht installiert worden sind, greift die Filterfunktion bereits. Die Installation des Zertifikates unterdrückt lediglich eine unschöne Warnmeldung der jeweiligen Browser.
Der Kanton entscheidet
WICHTIG: Wir unterstellen Euch, dass Ihr diese Erweiterung des gefilterten Internet-Traffics wünscht, weil das Risiko besteht, dass trotz Filterung insbesondere auf Google der Zugriff auf expliziten Inhalt möglich ist. Der Entscheid, auf einem oder beiden Netzen die https-Filterung nicht zu aktivieren, ist uneingeschränkt den Kantonen überlassen. Bitte meldet uns schnellst möglich, wenn Ihr mit unserem Vorgehen nicht einverstanden seid, wir werden diese Netze entsprechend nicht umstellen.
Informationspflicht
WICHTIG: Gemäss Rahmenvertrag sind die Vertragspartner (i.e. die Kantone, resp. der VSP) verpflichtet, die Enduser über die Erweiterung des Filters zu informieren. Siehe dazu auch § 5.4 der mit Euch abgeschlossenen Rahmenverträge. Wir bitten Euch daher, die Schulen entsprechend ins Bild zu setzen, sofern sie von dieser Umstellung betroffen sind.
Fragen und Antworten
In den Telefon-Konferenzen von Dienstag und Mittwoch habt Ihr diese Fragen gestellt, die wir Euch gerne so beantworten:
Frage: Müssen die Zertifikate pro Nutzer, oder pro Client (Computer) installiert werden?
Die Zertifikate müssen pro Computer nur einmal installiert werden und also nicht pro User.
Frage: Wieso ist es nicht möglich, die Verteilung dieses Zertifikates zu automatisieren?
Es ging uns darum, für ein akutes Problem eine schnelle Lösung in Form eines Workarounds anzubieten. Wir werden auch an einer nachhaltigeren Lösung (z.B. in Form von publizierten Zertifikaten, etc.) arbeiten. Diese sind aber im Moment technisch noch nicht zur Verfügung. Das Zertifikat, das wir Euch zur Verfügung gestellt haben, ist bis 2036 gültig; muss daher also in absehbarer Zeit nicht aktualisiert werden.
Frage: Mit welchen Effekten müssen die Schulen während der Umstellung rechnen?
http: Kein Unterbruch, evtl. gibt es vereinzelt Verzögerungen im Sekundenbereich
https: In den meisten Fällen wird es beim Browsen höchstens zu kurzen Verzögerungen kommen. In einigen Fällen kann sich eine Session aufhängen und muss evtl. neu geöffnet werden. Dort wo noch keine Zertifikate installiert sind, kommt es zu Zertifikatswarnungen.
Frage: Ist der Zugang auf Swissdox weiterhin gewährleistet?
Einzelne Kantone nutzen weiterhin die Authentifizierung via IP-Adresse für den Zugriff auf Swissdox. Dieses Problem lösen wir, indem wir eine generelle Ausnahme-Regelung für diese Adressen vornehmen.
Frage: Die Bedienungsanleitung deckt die Mac-Welt nicht ab. Könnt Ihr einen Nachtrag machen?
Sehr gerne. Die neue Bedienungsanleitung inkl. Mac/Chrome findet Ihr hier: http://sc-sales.ds02.swisscom.com/invitations?invitation=8b8bbf1de74ed1d20127 . Zudem haben wir sie in Deutsch, Französisch und Italienisch übersetzt.
Frage: Wir haben eine Applikation im Einsatz, die als Authentifizierung die Source-IP des Requests abfragt. Die Kommunikation zu dieser Applikation erfolgt (teilweise oder vollständig) über https. Da dieser Traffic neu über die Filter-Lösung geroutet wird: Ändert sich dann nicht die Source-IP und ist der Zugriff dann noch gewährleistet?
Ja, der https-Traffic wird nach der Umstellung vollständig über den Cloud Security Service von Swisscom geroutet und ist unter einer neuen IP-Adresse sichtbar. Um dieses Problem zu umgehen, gibt es zwei Wege:
- Der Applikation werden die IP-Ranges der Filter-Lösung beigebracht. So wird sie in Zukunft alle Requests von diesen Source-IP’s akzeptieren.
Die neuen Source IP’s umfassen die folgenden beiden Ranges:
- 195.65.152.0 / 24
- 195.65.154.0 / 24
- Auf den einzelnen Schul-Routern wir eine Exception Rule implementiert, die diesen Traffic direkt auf die Applikation umleitet, ohne Umweg über die Filter-Lösung.
Wir bitten Euch im Zweifelsfall auf uns zuzukommen, damit wir diese Fälle individuell besprechen können.
___
Dritte Mail von SAI / Swisscom (8.10.2014)
Liebe Kolleginnen und Kollegen
Wir dürfen Euch informieren, dass die Umstellung der Netze (Ergänzung Filterung auch auf https-Traffic) gestern und heute fehlerfrei abgelaufen ist. Die Filter-Lösung von Swisscom prüft nun nicht mehr nur den http-basierten Traffic, sondern auch den https-Traffic.
Leider bestehen zwei Probleme weiterhin:
- Auf Apple-Tablets verbleibt die Kommunikation mit Google ungefiltert.
- Einige von Euch haben uns zurückgemeldet, dass der Safe-Search-Parameter trotz WCS-Filterung deaktiviert werden kann.
An beiden Problemen arbeiten wir mit Hochdruck. Wir halten Euch auf dem Laufenden danken Euch für Eure Geduld.
Beste Grüsse
___
Vierte Mail von SAI / Swisscom (10.10.2014)
Liebe Kolleginnen und Kollegen,
Gerne geben wir Euch ein kurzes Update:
Unsere Kollegen haben - wie am Dienstag kommuniziert - alle Netze erfolgreich migriert. Unterdessen haben sich die beiden Probleme, die wir damals gemeldet haben, leider noch nicht lösen lassen (IOS-basierte Tablets, Safe-Search-Parameter auf einzelnen Netzen umgehbar). Zur Zeit arbeiten unsere Kollegen zusammen mit einer Taskforce unseres Partners in unserem Rechenzentrum in Zürich-Herdern mit Hochdruck an einer Lösung.
Es bestanden Zugriffsprobleme auf die eBanking-Plattform der UBS – diese URL’s haben wir auf eine White List gesetzt und sind seither wieder uneingeschränkt zugänglich.
Wir hoffen, dass wir Euch spätestens am Montag (14.10.2013) ein neues Update liefern können.
Fragen und Anmerkungen richtet Ihr bitte weiterhin direkt an meinen Kollegen ..... senden
Ich danke für Eure Geduld und grüsse Euch bestens
___
Fünftes E-Mail von SAI / Swisscom (14.10.014)
Liebe Kolleginnen und Kollegen,
Kurz nach Versand des letzten Updates am vergangenen Donnerstag konnten wir die beiden Probleme bez. IOS-basierten Tablets und der Inkonsistenz in einzelnen Netzen (Safe-Search-Parameter) identifizieren. Am Freitag konnten wir dann eine Lösung erarbeiten und erfolgreich testen.
Am Wochenende haben wir diese Lösung dann auf alle betroffenen Netze ausgerollt.
Damit können wir Euch nun mitteilen, dass die Erweiterung des Cloud-Security-Dienstes auf https-Traffic abgeschlossen wurde und stabil und zuverlässig läuft.
Wir bitten Euch, die Schulen über die Änderung zu informieren. Ab sofort bitten wir Euch weitere Probleme über den regulären Prozess via Mail zu melden.
Ich danke meinen Kollegen für den ausserordentlichen Einsatz während der letzten Tage und wünsche Euch einen guten Tag.
Es grüsst Euch freundlich
___
Fachstelle Bildung und ICT
Zwischen den Mails von SAI / Swisscom wurden von den kantonalen Fachstellen diverse Mails z. Hd. SAI / Swisscom verfasst und sie auf Seiten und Dienste aufmerksam gemacht, die nicht funktionieren.
Wir bleiben dran ...
René Moser
- Anmelden, um Kommentare verfassen zu können