Hallo.
Kann mir jemand helfen das angezeigte Zertifikat zu verifizieren?
Hibiscus hat hier wohl die Angewohnheit weder die angefragten Hostnamen/Adresse/URL mit anzuzeigen, noch den port oder andere Parameter der Verbindung.
Ich habe keinerlei Idee welches Zertifikat ich hier "bejahen" würde oder ob es tatsächlich unmanipuliert ist.
Für eine Banking-Anwendung ist das kein guter (Sicherheits-)Zustand.
Mit der angezeigten Gültigkeit von 10 Jahren ist das Zertifikat definitiv kein Lets-Encrypt zertifikat, also ist es nicht das Zert, das auf der webseite https://repository.frankmuenster.de/ ausgegeben wird (für die es scheinbar gelten soll).
Wie ich nun die Sicherheit/Korrektheit dieses Zertifikates prüfen können soll, ist mir gerade etwas schleierhaft. Die Sicherheitsabfrage ist also sinnlos? Ich kann sie ja doch nur blind abnicken.
Um die Abfrage "klonen" zu können, müsste die Sicherheitsabfrage alle Parameter ausspucken, die nötig sind um die Abfrage testweise mit curl o.ä. nachzubauen (user-agent, port, ip, etc).
Ich würde mir wünschen, das hier etwas transparentere Angaben gemacht würden, so dass man die Verbindung mit OpenSSL bzw. anderen programmen selber testen kann (von diversen Standorten, um eine MITM attacke auszuschließen).
(Natürlich wäre es auch schön, wenn die Jameica Repository-Seiten verifizierbare Zertifikatsinfos/Fingerabdrücke selber bereitstellen würden!)
Danke, und freundliche Grüße.
Kann mir jemand helfen das angezeigte Zertifikat zu verifizieren?
Hibiscus hat hier wohl die Angewohnheit weder die angefragten Hostnamen/Adresse/URL mit anzuzeigen, noch den port oder andere Parameter der Verbindung.
Ich habe keinerlei Idee welches Zertifikat ich hier "bejahen" würde oder ob es tatsächlich unmanipuliert ist.
Für eine Banking-Anwendung ist das kein guter (Sicherheits-)Zustand.
Mit der angezeigten Gültigkeit von 10 Jahren ist das Zertifikat definitiv kein Lets-Encrypt zertifikat, also ist es nicht das Zert, das auf der webseite https://repository.frankmuenster.de/ ausgegeben wird (für die es scheinbar gelten soll).
Wie ich nun die Sicherheit/Korrektheit dieses Zertifikates prüfen können soll, ist mir gerade etwas schleierhaft. Die Sicherheitsabfrage ist also sinnlos? Ich kann sie ja doch nur blind abnicken.
Um die Abfrage "klonen" zu können, müsste die Sicherheitsabfrage alle Parameter ausspucken, die nötig sind um die Abfrage testweise mit curl o.ä. nachzubauen (user-agent, port, ip, etc).
Ich würde mir wünschen, das hier etwas transparentere Angaben gemacht würden, so dass man die Verbindung mit OpenSSL bzw. anderen programmen selber testen kann (von diversen Standorten, um eine MITM attacke auszuschließen).
(Natürlich wäre es auch schön, wenn die Jameica Repository-Seiten verifizierbare Zertifikatsinfos/Fingerabdrücke selber bereitstellen würden!)
Danke, und freundliche Grüße.
