TLS Update 2025

Im ersten Quartal 2025 wurde die EMIL-Plattform, auf der EMIL, EMILdmp und RheDAT basieren, auf die Nutzung des Windows internen HTTPSys umgestellt. Dadurch bieten unsere Systeme automatisch alle modernen Verschlüsselungen wie auch TLS 1.3 sowie moderne ECC* Algorithmen. Mögliche Sicherheitslücken und Fehler in diesem Bereich werden automatisch durch Windows Aktualisierungen behoben, ebenso werden dadurch kommende neue Algorithmen und Techniken automatisch unterstützt.

Daneben ist die Kommunikation über den fest in Windows eingebetteten Treiber spürbar schneller. Da wir Pläne, den EMIL Plattform Server perspektivisch auch nativ unter Linux anzubieten inzwischen verworfen haben, war die Umstellung ein konsequenter Schritt. 

Für die Nutzung des Windows Wegs muss der EMIL-Plattform Server einmalig ein Zertifikat installieren, es mit dem verwendeten Port assoziieren und die vom EMIL-Plattform Server verwendeten URLs anmelden. Er benötigt dafür Administrationsrechte, die er bei einer unveränderten Standardinstallation auch hat.

Wenn aber nach der Installation des Systems der Benutzer, unter dem der ITC Serverguard läuft, verändert wurde und der neue keine Administrationsrechte hat, kann das Update fehlschlagen. In diesem Fall rollt das Plattformsystem das Update zurück und zeigt im Applikationsserver-Protokoll diese Fehlermeldung an:

Could not store itcemil certificate in MY/LOCAL_MACHINE. Please run the ITC-Serverguard as "local system" user and repeat the update. See https://itc-ms.de/service/244.

In diesem Fall müssen Sie diese Schritte auf dem Server durchführen.

  1. Dienst ITC Serverguard beenden.
  2. Diesen Dienst unter dem Reiter Anmelden auf Lokales Systemkonto umstellen
  3. Dienst ITC Serverguard wieder starten.
  4. In Server.log prüfen, dass der Server durchgestartet ist.
  5. Von einem beliebigen Arbeitsplatz die Aktualisierung wiederholen. Das kann auch mit dem Client geschehen, der im Server unter <Installation>\client zu finden ist.
  6. Dienst ITC Serverguard beenden.
  7. Diesen Dienst unter dem Reiter Anmelden auf den vorherigen Benutzer zurückstellen.
  8. Dienst ITC Serverguard wieder starten.
  9. In Server.log prüfen, dass der Server weiterhin durchstartet.

Dieser Vorgang ist nur einmalig erforderlich und muss bei späteren Updates nicht wiederholt werden.

* Elliptische-Kurven-Kryptographie (ECC) ist effizienter als klassische Verfahren wie RSA oder Diffie-Hellman, die auf großen Primzahlen basieren. ECC bietet bei kürzeren Schlüssellängen eine vergleichbare oder höhere Sicherheit, wodurch weniger Rechenleistung und Speicher benötigt werden. Während RSA für eine Sicherheitsstufe von 128 Bit Schlüssel mit 3072 Bit erfordert, reichen bei ECC bereits 256 Bit.