neues GAD PIN&TAN-Zertifikat

Einige User stolpern wohl über die Hinweise bei der Datenübertragung, dass das Serverzertifikat geprüft werden müsse. Mir war das auch entfallen, abgelaufen wäre das alte Zertifikat eigentlich erst in 10 Tagen, es ist wohl heute am Server getauscht worden...
Da Hibiscus keine Zertifikatsverwaltung hat, werden einigeUser nach einer Bestätigung gefragt.
Bevor man verwirrte Banker wie mich fragt: Das Zertifikat kann man am besten selbst in einem Browser mit eigener Zertifikatsverwaltung auf den Besitzer (FIDUCIA & GAD IT AG heißt jetzt das neue Rechenzentrum) prüfen und den Fingerprint mit dem aus Hibiscus vergleichen. Ein aktueller Firefox sollte geeignet sein.
Webadresse: https://hbci-pintan.gad.de/cgi-bin/hbciservlet

Vermutlich würde ein Java-Update auch helfen, aber da es hier einige Probleme gab, kann ich verstehen, wenn man das erstmal nicht machen möchte.

Gruß
Raimund
Edit: Ich weiß, wie die Fachleute darüber denken, DNS-Spoofing kenne ich auch. Allerdings halte ich hier die Gefahr für sehr gering, da man beim PIN & TAN-Verfahren auch sicher über einen Auftrag prüfen kann, mit wem man verbunden ist.

[i]Bevor man verwirrte Banker wie mich fragt: Das Zertifikat kann man am besten selbst in einem Browser mit eigener Zertifikatsverwaltung auf den Besitzer (FIDUCIA & GAD IT AG heißt jetzt das neue Rechenzentrum) prüfen und den Fingerprint mit dem aus Hibiscus vergleichen. Ein aktueller Firefox sollte geeignet sein.
Webadresse: https://hbci-pintan.gad.de/cgi-bin/hbciservlet[/i]

Und wo bitteschön bekomme ich den korrekten Fingerprint her?

@schneibva: Deine Jameica-Version ist uebrigens nicht mehr ganz frisch. Seit Jameica 2.6.2 (wird dir oben im Menu unter "Hilfe->Über..." angezeigt) zeigt Jameica in dieser Zertifikats-Sicherheitsabfrage im Abschnitt "Fingerabdrücke" nicht mehr den veralteten MD5-Fingerabdruck an sondern stattdessen den SHA256-Fingerabdruck. Der zugehörige Fingerabdruck im Browser wird dir - wie folgt angezeigt.

Beispiel Firefox:

1) https://hbci-pintan.gad.de im Browser öffnen
2) Rechtsklick auf die Seite und im Kontextmenu "Seiteninformationen anzeigen" klicken
3) In dem Fenster oben auf das Schloss-Symbol mit dem Text "Sicherheit" klicken
4) Dann auf den Button "Zertifikat anzeigen"

Dort werden dir SHA1- und SHA256-Fingerabdrücke angezeigt. Vergleiche sie mit den Werten von Jameica. Wenn sie stimmen, ist es die selbe Webseite.

Wo ist jetzt noch das Problem? Auf deinem Screenahot wird doch das Zertifikat angezeigt.

Das Forbidden kommt schon vom GAD-Server und heißt einfach, das Browsen hier nicht erlaubt ist. Gibt auch nix zu sehen, denn der Server ist für FinTS/HBCI da.
Klick mal oben auf den ersten link in meinem Beitrag, dann kommt ein anderer Hinweis, der macht das deutlicher
Gruß
Raimund

[quote="hibiscus"]
Dein letzter Screenshot, in dem du farbig die Versionsnummer von Jameica mit der vom Plugin "jameica.ca" vergleichst, macht keinen Sinn und spielt hier auch keine Rolle.
[/quote]

@hibiscus
Das war für Dich, da in der Fensterzeile oben eine andere Vesrion angezeigt wird als tatsächlich installiert ist.

Mein Firefox verifiziert das Zertifikat ohne Probleme.

So, jetzt hab ich's.

Bei mir läuft das meiste mit Linux, auch Firefox 43.0.4 und auch Hibiscus. Bei Linux werden die Zertifikate vom BS verwaltet. Ich hab das mal mit Windows 7 ausprobiert, da meckert FF 43.0.4 nicht. Es ist also so, dass das die ausgebende Stelle VR Ident des relativ neuen Zertifikates (gilt erst ab 02.12.2015) in Linux noch nicht bekannt ist, die haben sich ja erst vor kurzem umbenannt.

Der SHA-1 bei FF unter Windows ist identisch mit dem unter Linux, da kann ich ja Linux das neue Zertifikat beibringen.

Nachdem bei Online-Banking derart viel getrickst wird, hat mich das natürlich erst mal misstrauisch gemacht.

Danke an alle!

Ich setze unterwegs Xubuntu 15.10 ein, zuhause Ubuntu 14.04, keine Probleme mit den Zertifikaten unter FF.
Gruß
Raimund