Die Umstellung auf eine verschlüsselte Kommunikation mittels HTTPS zwischen ASV-Client und ASV-Server wird schrittweise eingeführt.
Der ASV-Server und der ASV-Client erhalten neue und geänderte Konfigurationsparameter und sind damit technisch in der Lage, sowohl via HTTP als auch via HTTPS miteinander zu kommunizieren. Die jeweilige Verbindung kann getrennt konfiguriert werden.
Eine unmittelbare Umstellung des ASV-Servers mit dem Update auf 2.19 auf HTTPS würde die ASV-Clients sofort „abhängen“. Insbesondere das automatische Update der ASV-Clients würde nicht mehr funktionieren.
Der ASV-Client wird in seiner Funktionalität erweitert, sodass zuerst versucht wird, eine verschlüsselte Verbindung aufzubauen. Gelingt dies nicht, so wird versucht, die Verbindung zum ASV-Server unverschlüsselt (wie bisher) aufzubauen (Rückfallebene). Das kann beim Start des ASV-Clients zu einer geringen Verzögerung führen.
Dafür ist kein Eingriff am ASV-Server oder ASV-Client erforderlich.
Dann wird der ASV-Server durch das Update so umkonfiguriert, dass die Kommunikation über HTTP deaktiviert wird und die HTTPS Kommunikation über den selben Port (8765) erfolgt.
Alle ASV-Clients in der Version 2.19 oder höher können dann bereits das automatische Update über HTTPS ziehen und auch der Austausch der fachlichen Daten erfolgt verschlüsselt.
Wenn ein ASV-Client in der Zwischenzeit nicht gestartet / aktualisiert wurde, dann wird das ASV-Client-Update auch nicht mehr automatisch funktionieren. In dem Fall muss entweder eine Neuinstallation oder ein manuelles Update des ASV-Clients erfolgen. Es gibt auch die Möglichkeit das Update oder die Neuinstallation des ASV-Client mittels Unattended-Installer zu automatisieren.
Damit ist dann ohne administrativen Eingriff die Umstellung auf eine verschlüsselte Kommunikation mittels HTTPS erfolgt.
Moderne Netzwerkkomponenten können auf das verwendete Protokoll reagieren. Das ist beispielsweise bei Loadbalancer und Reverse-Proxy notwendig. Aber auch beispielsweise Proxy-Server und Firewalls können so konfiguriert werden.
Falls derartige Komponenten zwischen ASV-Client und ASV-Server im Einsatz sind, sollte deren Konfiguration vom Netzwerkadministrator geprüft werden.
Wenn in Ihrer Netzwerkinfrastruktur möglich, dann können Sie beide Protokolle für die Übergangszeit zulassen. Alternativ kann das verwendete Protokoll zum Zeitpunkt der Umstellung des ASV-Servers (ASV-Update auf Release 2.20) auf HTTPS umgestellt werden.
Eine weitere Möglichkeit besteht darin, auf dem bisherigen Port (Standard: 8765) weiterhin per HTTP zu kommunizieren und auf einem weiteren Port (z. B. 8763) die Kommunikation über HTTPS einzurichten.
Hierfür sind folgende Schritte erforderlich:
Am ASV-Server muss die config.local.ini
um folgenden Eintrag (sinngemäß) ergänzt werden:
# ASV-Server für HTTPS konfigurieren http.server.https.port=8763 http.server.https.enabled=true
Am ASV-Client muss die config.local.ini
um folgenden Eintrag (sinngemäß) ergänzt werden:
# Update update.server.secure=https://asv-server:8763/svp/update #DSS server.url.secure=https://asv-server:8763/svp
Die Verteilung der config.local.ini an alle ASV-Clients kann nicht durch das automatische ASV-Update vorgenommen werden. Falls eine automatische Bereitstellung gewünscht ist, muss diese unabhängig (z. B. via Softwareverteilung) erfolgen.
Mit diesem Vorgehen wird die Umstellung auf HTTPS sofort wirksam.
Dies kann z.B. der Fall sein, wenn ein neuer ASV-Server installiert wurde und die ASV-Clients mittels config.local.ini
auf den neuen ASV-Server umgestellt wurden.
In dem Fall sollte die config.local.ini
bei allen ASV-Clients ergänzt werden.
Wenn die config.local.ini
bisher (sinngemäß) so aussieht:
# Update update.server=http://asv-server2:8765/svp/update #DSS server.url=http://asv-server2:8765/svp
dann muss die Datei (sinngemäß) wie folgt ergänzt werden:
# Update update.server=http://asv-server2:8765/svp/update update.server.secure=https://asv-server2:8765/svp/update #DSS server.url=http://asv-server2:8765/svp server.url.secure=https://asv-server2:8765/svp