Die Sicherheit unseres DocuWare Cloud Services hat für uns als Service Provider oberste Priorität. Deshalb überprüfen wir regelmäßig, wie wir die Sicherheit unserer Services verbessern können.
Bereits seit einigen Jahren unterstützen sowohl der DocuWare Web Client als auch die DocuWare Desktop Apps durchgängig eine abgesicherte Kommunikation über HTTPS. Bei der letzten Sicherheitsprüfung ist jedoch aufgefallen, dass wir eine sichere Kommunikation über HTTPS für in Workflows eingebundene Web Services nicht forcieren.
Bislang konnten Sie im Workflow-Designer Webservices auf Ihren eigenen Servern einbinden, für die kein SSL-Zertifikat vorlag.
Um eine durchgehende Verschlüsselung sicher zu stellen und den Schutz Ihrer Daten zu gewährleisten, werden wir die Unterstützung dieser HTTP-Webservices in den nächsten Monaten einstellen.
Bis zum 14.05.2018 können Sie ihre Workflows mit HTTP-Webservices noch uneingeschränkt bearbeiten und speichern.
Ab dem 15.05.2018 ist das Speichern eines neuen Workflows oder einer neuen Workflow-Version nur noch möglich, wenn alle eingebundenen Webservices eine abgesicherte Kommunikation über HTTPS verwenden.
Ab dem 01.11.2018 werden Webservices ohne HTTPS nicht mehr unterstützt und die entsprechenden Schritte im Workflow führen zu Fehlern.
So stellen Sie auf HTTPS um:
- Beziehen Sie ein SSL-Zertifikat entweder über Ihren Hosting-Provider oder einen Drittanbieter
- Installieren Sie das Zertifikat in ihrer Domain
- Öffnen Sie alle betroffenen Workflows im DocuWare Workflow Designer und ändern Sie die alten HTTP-Adressen in ihre neuen HTTPS-Adressen
Hinweise zu SSL-Zertifikaten:
- Recherchieren Sie, ob Ihr Hosting-Anbieter evtl. nur Zertifikate von bestimmten Anbietern zulässt. In manchen Hosting-Verträgen ist bereits ein SSL-Zertifikat enthalten oder der Erwerb und die Installation kann ggf. direkt über den Hoster erfolgen.
- Sind Sie frei in der Wahl Ihres Zertifikatanbieters sind, so könnte ein kostenloses Zertifikat von Let’s Encrypt eine Alternative zu den kommerziellen Anbietern darstellen.
- Sollten Sie Zertifikate für mehrere Subdomains benötigen, so könnte für Sie ein Wildcard-Zertifikat in Frage kommen, dass für alle Subdomains einer Domain gültig ist.
- Folgen Sie den Anweisungen des Anbieters. Es gibt unterschiedliche Verfahren auf welche Weise der Besitz der Domain nachgewiesen werden muss. Auch für die Installation der Zertifikate gibt es unterschiedliche Tools.
- Überprüfen Sie die erfolgreiche Installation des Zertifikats für Ihre Domain. In der Regel erhalten Sie von ihrem Zertifikatanbieter ein Tool zum Überprüfen der Installation.
- Denken Sie an einen Kalendereintrag um rechtzeitig die reibungslose Erneuerung des Zertifikats sicher zu stellen und zu prüfen.