DE FR IT
anmelden
  • Öffentlich
  • Mitarbeitende SASIS
  • VT SASIS
  • Fachliche Kontaktpersonen ZSR
  • Benutzer ZSR-Versicherer-GUI (Vollversion) ohne ASCA, EMR und SPAK
  • Benutzer ZSR-Schnittstellen (Download)
  • Versicherer-Kontaktpersonen ZVR-EDI-Schnittstelle
  • Versicherer-Kontaktperson Mandantenlösung ZVR
  • Kontaktperson ZVR-Web-GUI
  • Benutzer Datenpool-Web OHNE Zertifikat
  • Benutzer Tarifpool-Web OHNE Zertifikat
  • kontrollgruppe admin test
  • Versicherer-Kontaktpersonen ZVR-Standardschnittstelle
  • VT Statistik
  • VT Register
  • VT Statistik FL
  • Benutzer Datenpool-Web OHNE Zertifikat FL
  • Benutzer Tarifpool-Web OHNE Zertifikat FL
  • ZSR EDI-Abo (technische Kontakte)
  • Kontaktperson P.ONE ZSR
  • Kontaktperson P.ONE ZVR
  • Kontaktperson P.ONE DP
  • Kontaktperson P.ONE TP
  • Kontaktperson P.ONE Sonstige
  • Verantwortliche Person im Störungsfall (ZSR)
Handlungsaufruf: Wartungsfenster am 26. Oktober 2019, 10:00 - 18:00 Uhr
Wartungsfenster erfolgreich abgeschlossen am 26. Oktober um 12:35 Uhr

Weitere Ankündigungen von Wartungsfenster finden Sie unter: https://www.sasis.ch/de/eintrag/11142

Wartungsfenster erfolgreich abgeschlossen am 26. Oktober um 12:35 Uhr

Bitte lesen Sie die nachfolgenden Informationen sorgfältig durch und leiten Sie die Informationen Ihrer IT-Ansprechperson weiter. Diese sollen Ihnen bei der anstehenden Umstellung helfen, die korrekten Anpassungen vorzunehmen. Es besteht Handlungsbedarf auf Ihrer Seite, damit Sie nach dem Wartungsfenster die Dienste uneingeschränkt nutzen können. Die Umstellung auf die neue Systemlandschaft erfolgt via DNS-Umstellung. Bitte stellen Sie sicher, dass Sie die öffentlichen DNS-Einträge der SASIS AG verwenden und keine eigenen Host-File-Einträge oder ähnliches nutzen. 

Alle Services rund um die Produkte ZVR, ZSR, Statistik Web Reports und SASIS Portal werden voraussichtlich am Samstag, 26. Oktober 2019 zwischen 10:00 - 18:00 Uhr auf eine neue Systemlandschaft migriert. Wir behalten uns allerdings eine mögliche Verschiebung dieses Wartungsfensters noch bis zum 14. Oktober 2019 vor. Sollten Sie keine weitere Information bis zu diesem Datum erhalten, gilt dieser Termin als definitiv.

Durch die oben erwähnten Arbeiten können unten stehende Services zum genannten Zeitraum kurzzeitig nicht zur Verfügung stehen. Dazu zählen folgende Web-Applikationen und / oder -Services:

Allgemein

Neue IP-Adressen
Durch die Migration erhalten alle Dienste eine neue IP-Adresse aus folgenden IP-Ranges:

  • 194.31.207.0/24
  • 185.27.186.32/28
  • 212.47.172.64/28
  • 212.47.172.80/29

Bitte schalten Sie alle IP-Ranges auf Ihrer Firewall frei, damit alle Services der SASIS AG nach dem Wartungsfenster weiterhin von Ihren Systemen erreichbar sind. Voraussichtlich werden unten stehende IP-Adressen zugeteilt. Bitte beachten Sie jedoch, dass wir uns das Recht vorbehalten, jederzeit eine andere IP-Adresse aus den oben stehenden IP-Ranges zu verwenden.



Web-Applikationen und / oder -Services

Abschaltung unsicherer und schwacher Verbindungsprotokolle
Um weiterhin einen sicheren Datenaustausch zu gewährleisten, werden wir für Web-Applikationen und / oder -Services die Verbindungsprotokolle aktualisieren. Das SSL-Zertifikat bleibt gleich. Bitte stellen Sie sicher, dass Ihre Infrastruktur wie Proxy, Betriebssystem etc. TLS 1.2 inkl. Ciphers unterstützt.

Bitte beachten Sie, dass durch diese Änderungen evtl. Ihre Integration Anpassungen benötigt oder einen Neustart. Beispielsweise wird bei Java-Integrationen das Zertifikat zwischengespeichert und erst bei einem Neustart des Dienstes das Zertifikat neu abgerufen.

Neuer Verschlüsselungsalgorithmus:

  • sha256RSA

Einschränkung der unterstützten SSL-Protokolle:

  • TLS 1.2

Einschränkung der unterstützen SSL-Cipher Suites für TLS 1.2 (suites in server-preferred order)

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)

SNI - Server Name Indication - Denken Sie an Ihren Proxy
Seit über zehn Jahren ist SNI ein Standard im Netzwerkverkehr, welcher nun auch bei der SASIS AG eingeführt wird. Viele Browser unterstützen SNI bereits seit 2006. Anders als bei Browsern ist SNI bei Proxys oft nicht standardmässig eingerichtet. Bitte richten Sie Ihren Proxy entsprechend ein. Teilweise müssen Sie Ihre Proxy-Software zuerst updaten, damit Konfigurationsmöglichkeiten wie SNI zur Verfügung stehen. Wir bitten Sie daher dringend, Ihre Anpassungen möglichst bis zum Donnerstag, 10. Oktober 2019 zu testen und umgehend mit uns Kontakt aufzunehmen, sofern Sie keine erfolgreiche Verbindung herstellen können. 

Bekannte Proxys, die upgedatet werden müssen, damit Sie danach die Konfiguration durchführen können:

  • true-Tunnel ab Version 1.4.0 (Hersteller: Firma keyon)

HTTP-Header muss korrekten Hostname beinhalten
Bitte stellen Sie sicher, dass der Hostname korrekt durchgereicht wird. Eine Anpassung des Proxys alleine reicht meist nicht aus. Oft wird in ERP's, wie zum Beispiel SAP BI, ein Proxy verwendet, welcher mit localhost angesprochen wird. Dies reicht der Proxy dann an unsere Umgebung weiter im HTTP-Request. Unsere Schutzmechanismen schätzen dies neu als Angriff ein und blockieren den Request dementsprechend. Hier können Sie zum Beispiel einen Host-File-Eintrag erstellen für die Hostnamen, die auf die IP des Proxys zeigen und den Hostnamen in der Konfiguration des ERP's anpassen.

Weitere Informationen: In TLS negotiations, the client sends the host name twice: once before the SSL connection is established in the SNI (Server Name Indication) and once after in the actual HTTP request. If the server names mismatch, this would indicate a broken client and can be indicated as an attack.

Zugriff Testsystem - Host-File-Eintrag
Bitte beachten Sie, dass Sie die Verbindung auf die neue Umgebung bereits, wie nachfolgend beschrieben, im Voraus testen können. Damit Sie auf die neue Umgebung gelangen, erstellen Sie bitte einen entsprechenden Host-File-Eintrag mit der neuen IP-Adresse:

Um sicherzustellen, dass Sie sich auf der Testumgebung befinden, können Sie https://www.sasis.ch aufrufen und prüfen, ob Sie einen roten Balken auf Höhe des SASIS AG-Logos sehen. Ist dies der Fall, greifen Sie erfolgreich auf die Testumgebung zu. Die weiteren Websites nutzen die gleichen Technologien. Es reicht somit, wenn Sie https://www.sasis.ch aufrufen, um den Zugriff zu testen. Andere Websites und Services sind für den Zugriff nicht aufgeschaltet. Das Testsystem steht Ihnen vom 30. September bis und mit 21. Oktober 2019 zur Verfügung.

Wir bitten Sie zudem zu beachten, dass die Testumgebung einen älteren Stand der Daten repräsentiert. Die Daten auf dem Testsystem dienen lediglich zu Testzwecken und dürfen nicht anderweitig verwendet werden. Das System kann entsprechend nur zu Testzwecken verwendet werden und untersteht den gleichen Datenschutzregelungen, welche für Sie auch auf dem Live-System gelten.


SFTP-Server

Neuer FTP-Server mit erhöhten Sicherheitseinstellungen
All unsere Kunden und Partner die aktiv eine FTP-Verbindung zu ftp.zahlstellenregister.ch oder ftp.zentralesvertragsregister.ch haben, werden via Brief angeschrieben. Bitte folgen Sie den weiteren Anweisungen in diesem Schreiben. Sollten Sie der Meinung sein, aktiv eine FTP-Verbindung via ftp.zahlstellenregister.ch oder ftp.zentralesvertragsregister.ch zu nutzen, jedoch keinen Brief bis am 10. Oktober 2019 erhalten haben, so wenden Sie sich bitte umgehend an support@sasis.ch mit ihrem bisherigen FTP-Usernamen.

SFTP-Server - Public Key Authentifizierung
Die aktuellen Public Keys werden bewusst nicht automatisch übernommen. Sollten Sie auf der neuen Umgebung ebenfalls die Public Key Authentifizierungsmethodik verwenden wollen, wenden Sie sich bitte mit dem Public Key und Ihrem SFTP-Benutzer an support@sasis.ch.

SFTP-Server - Hilfestellung bei Verbindungsproblemen
Bitte beachten Sie, dass in unserer neuen Umgebung erhöhte Sicherheitsstandards wie Ciphers oder MACs eingehalten werden. Dies kann dazu führen, dass Sie ältere SFTP-Clients updaten müssen, bevor sich diese erfolgreich mit unserem SFTP-Server verbinden können. Sollte Sie keine Verbindung herstellen können, laden Sie bitte den neusten FileZilla-Client herunter und versuchen Sie über diesen eine Verbindung herzustellen. Sollte dies weiterhin nicht funktionieren, stellen Sie bitte sicher, dass eine entsprechende Firewall-Regel auf die neue IP-Adresse und Port 22 besteht. Sollte die Verbindung mit dem neusten FileZilla-Client funktionieren, liegt das Verbindungsproblem bei Ihrem SFTP-Client den Sie standardmässig verwenden. Bitte wenden Sie sich in diesem Fall an den Hersteller des SFTP-Clients. Unsere Tests haben gezeigt, dass ältere Versionen von SFTP-Clients, zum Beispiel FileZilla (getestet mit einer Version aus dem Jahre 2014), keine Verbindung, aufgrund der erhöhten Sicherheitsstandards herstellen können.

Ebenfalls kann die weit verbreitete SFTP-Library edtFTPnet/PRO der Firma EnterpriseDT erst ab Version 9.2.2 (in unseren Tests) eine erfolgreiche Verbindung herstellen.


Weitere Anpassungen & Infos


Schliessung Port 20443 - Umstellung auf SSO-IAM-Token-Login

Vor einigen Monaten wurde die Schliessung des Ports 20443 angekündigt. Dies wird nun effektiv umgesetzt. Der Port 20443 wurde für die SSO-Token-Lösung verwendet. Diese wird durch einen Webservice abgelöst. Betroffene Kunden haben eine separate Information erhalten. Bitte prüfen Sie Ihre Config-Files und Firewall-Settings.

ZVR-Mandanten Tool
Das ZVR-Mandanten Tool wird in einer neuen Version ausgeliefert. Bitte wenden Sie sich hierzu an Ihre Ansprechperson im ZVR-Team nach dem 26. Oktober 2019 sollten Sie den neuen Release nicht bereits erhalten haben. Ihre Ansprechperson wird Ihnen die neue Version zusenden beziehungsweise auf dem FTP-Server in Ihrem Benutzerkonto zur Verfügung stellen.

Anlaufstelle für Fragen zur Umstellung
Für weitere Fragen und Unterstützung bei der Umstellung stehen wir Ihnen gerne unter support@sasis.ch zur Verfügung.