primesign RKSV: New TLS Root-CA, Deactivation TLS 1.0/1.1, SNI required & Additional IP Addresses

Scheduled for Oct 29, 2025, 10:00 - 12:00 CET

Scheduled

English version see below!

Mit 29. Oktober 2025 werden folgende Änderungen bei Nutzung unserer Services zur Erstellung von RKSV-Signaturen und Ausstellung von RKSV-Zertifikaten wirksam:

1.) Änderung der Root-CA für die TLS-Verbindung:

Die aktuell genutzte Root-CA "Entrust Root Certification Authority - G2" muss durch eine neue CA ersetzt werden (mehr Infos: https://www.entrust.com/blog/2024/07/thoughts-on-the-google-chrome-announcement-and-our-commitment-to-the-public-tls-certificate-business).
Welche das sein wird, ist noch offen und wird in den kommenden Monaten festgelegt. Wir werden die neue Root-CA rechtzeitig per Mail-Aussendung sowie auf unserer Status Seite ankündigen. primesign empfiehlt, Truststores unabhängig von dieser Änderung stets aktuell zu halten. Es ist zu erwarten, dass aufgrund aktueller Browser-CA Entwicklungen in Zukunft keine derart langen Vorlaufzeiten mehr bei (Root-)Zertifikatsänderungen garantiert werden können.

2.) Deaktivierung TLS 1.0/1.1:

Die Unterstützung für die Protokollversionen TLS 1.0/1.1 (erschienen 1999 bzw. 2006) wird eingestellt. Unterstützte Protokollversionen: TLS 1.2 und TLS 1.3

3.) SNI zwingend erforderlich:

Stellen Sie sicher, dass Ihr Kassensystem SNI (Server Name Indication) unterstützt. SNI ist zwingend zur Kommunikation mit unserem primesign RKSV Remote Signing Services erforderlich.

4.) Erweiterung IP-Adressbereich:

Die IP-Adressen unserer primesign RKSV Remote Signing Services werden auf den Adressbereich 149.154.99.176/28 ausgedehnt. Sollten Sie aktuell Firewallfreischaltungen für einzelne unserer IP-Adressen umgesetzt haben, so ergänzen Sie diese Freischaltungen um den Adressbereich 149.154.99.176/28.

Die Änderungen stehen ab 29. April 2025 am Testsystem für Sie bereit. Bedenken Sie, dass oben beschriebene Änderungen beim Verbindungsaufbau sowohl die RKSV-Signaturerstellung als auch die Beantragung von RKSV-Signaturzertifikaten betrifft.

Kontaktieren Sie ggf. Ihren Registrierkassenhersteller, ob sich dadurch Änderungsbedarf bei Ihrer Registrierkasse bzw. Ihrem Point-of-Sale System ergibt.

Bei Anmerkungen und Fragen zu unserem primesign RKSV Remote Signing Service, kontaktieren Sie unseren Support (Shop-Kunden: http://crypt.as/rk-support bzw. basicsupport@cryptas.com oder ggf. https://premiumsupport.cryptas.com für Kunden mit eigenem Mandant).

----

As of October 29, 2025, the following changes will take effect when using our services for creating RKSV signatures and issuing RKSV certificates:

1.) Change of Root CA for the TLS connection:

We must replace the currently used Root CA “Entrust Root Certification Authority - G2” by a new CA (more information: https://www.entrust.com/blog/2024/07/thoughts-on-the-google-chrome-announcement-and-our-commitment-to-the-public-tls-certificate-business).
The new Root CA has not yet been set. The new Root CA will be set in the coming months and announced by e-mail and on our status page. primesign recommends keeping truststores up to date regardless of this change. Due to current browser CA developments, we expect that we cannot guarantee such long announcement times for (root) certificate changes in the future.

2.) Deactivation of TLS 1.0/1.1:

We will discontinue the support for the protocol versions TLS 1.0/1.1 (released in 1999 and 2006). Supported protocol versions: TLS 1.2 and TLS 1.3

3.) SNI mandatory:

Make sure that your POS system supports SNI (Server Name Indication). SNI is mandatory for communicating with our primesign RKSV Remote Signing Services.

4.) Extension of our IP address range:

We extend the IP addresses of our primesign RKSV Remote Signing Services to the address range 149.154.99.176/28. If you have implemented firewall restrictions for individual IP addresses, please add the address range 149.154.99.176/28 to these restrictions.

The changes will be available on the test system from April 29, 2025. Please note that the changes to the connection setup described above affect both the RKSV signature creation and the issuance of RKSV signature certificates.

Please contact your cash register manufacturer to find out whether any changes need to be made to your cash register or point-of-sale system.

If you have any comments or questions about our primesign RKSV Remote Signing Service, please contact our support team (Shop customers: http://crypt.as/rk-support or basicsupport@cryptas.com, for customers with their own realm: https://premiumsupport.cryptas.com/).

Posted Dec 16, 2024 - 14:11 CET

This scheduled maintenance affects: primesign RKSV (RKSV remote signing service).