Sparkassen Hessen: Unbekanntes Zertifikat

Hallo,

ich wollte gerade mit Jameica (1.8.0) / Hibiscus (1.10) meine Kontoauszüge holen, da bekomme ich die Fehlermeldung, dass das Zertifikat nicht bekannt sei.

Die Daten des Zertifikats:
hbci-pintan-he.s-hbci.de
Finanz Informatik GmbH & Co. KG

valid from: Tue Aug 25 02:00:00 CEST 2009 to: Thu Nov 25 00:59:59
Aussteller: VeriSign

MD5: 59:7C:89:EA:E8:70:98:13:61:C9:A2:5B:27:B4:FE:9D
SHA1: 2D:AE:1E:98:79:C4:7B:B2:24:04:5D:37:01:F1:34:73:5B:7E:89:46

Das Ganze betrifft Konten bei der Frankfurter Sparkasse und der Nassauischen Sparkasse (Naspa).

Kann mir jemand sagen, ob das Zertifikat ok ist oder ob mir jemand etwas unterjubeln möchte?

Vielen Dank und viele Grüße!

Richtig.

Trotzdem sei angemerkt, das die SSL Zertifikate der HBCI-Server regelmäßig, meistens jährlich getauscht werden. Für Sparkassen gilt: Das alte Zertifikat des obigen (Hessen) und eines weiteren Systems (für Westfalen-Lippe) wäre am 22.10.09 verfallen, es wurde heute früh gegen ein neues getauscht.

Es kann also sein, das dich die Sicherheitsnachfrage trifft, obwohl es sich nicht um eine Neueinrichtung von Hibiscus handelt.

Eigentlich haette ich gedacht, dass die Bank die geaenderten Hash-Werte der neuen Zertifikate auch auf ihrer Webseite bekannt gibt. Auf www.s-jena.de finde ich aber nichts.

Wenn etwas veröffentlich wird, sind das die Hashwerte der Zertifikate für die Browser Anwendung bzw. die Portaloberfläche. Die sind erstens grundsätzlich nur manuell zu kontrollieren und zweitens Bankspezifisch. Der Link von Michael ist auf den ersten Blick auch nur das Zertifikat für das Portal.

Die Server-Zertifikate für Softwareprodukte habe ich noch nirgendwo als Hashwert gesehen. Die werden durch die Client-Software geprüft und ich würde überschlägig sagen bis auf zwei Ausnahmen auch durch die Client Software mitgebracht und getauscht. Die Anzahl ist auch gleich nur ein Bruchteil der obigen Zertifikate.

Das Infoangebot um jede Ausnahme aufzublähen ist sicher nachvollziehbar nicht sinnvoll. Man will ja wesentliche Informationen vermitteln und nicht durch Vielfalt verwirren....

Im Prinzip ist die Veröffentlichung der Hashwerte auf der eigenen Homepage doch eh zumindest zweifelhaft. Ich habe dabei keinen unabhängigen Kanal für die Übermittlung.

Na doch. Du hast es doch selbst geprueft.



Der TrustManager von Jameica befragt vorher noch den von Java selbst. Aber offensichtlich liefert SUN in Java keine sonderlich umfangreiche Liste mit.

Unabhaengig davon bin ich mir persoenlich gar nicht sicher, ob ich das Mitliefern der (Root-) Zertifikate wirklich gut finden soll. Schliesslich wird damit ja die Verantwortung ueber die Validierung - und somit ueber die Herstellung der Vertrauensstellung zwischen Client und Server - vom User auf den Software-Anbieter (in dem Fall also auf mich) abgewaelzt. Indem ich einen Pool von Root-Zertifikaten verwalte und diese "ab Werk" mit Hibiscus/Jameica ausliefere, kann ich entscheiden, was vertrauenswuerdig ist und was nicht. Der User wuerde dann meiner Vorauswahl blind vertrauen - er wuerde nicht mal mehr einen Warnhinweis sehen.



Das tut Hibiscus auch. Das Zertifikat wurde aber getauscht, kurz bevor es abgelaufen ist. Und so ist das eigentlich auch richtig. Abgelaufene Zertifikate findet man eigentlich nur dann auf Servern, wenns der zustaendige Admin verpennt hat ;)



Das ist ja auch sehr richtig so.

Aus meiner Sicht erfuellt das Verfahren da genau seinen Zweck. Der User wird gewarnt und kontrolliert daraufhin das Zertifikat.

Aber das ist meine Meinung.

Hallo,

grundsätzlich sehe ich das ebenso wie ihr: Es ist nicht Aufgabe von Jamaica/Hibiscus Zertifikate auszuliefern. Die Applikation verhält sich hier technisch völlig korrekt. Auf der anderen Seite ist es für den technisch nicht versierten User auch nicht zumutbar, die Zertifikate "händisch" zu prüfen.

Das Problem ist meiner Meinung nach, dass der User jedes Zertifikat selbst kontrollieren und verifizieren soll(Anruf bei der Bank/Check der Hashes). Aber gerade hier sollte doch der Mechanismus der Root-Zertifikate greifen: Die Java-Installation des Users muss das (Verisign-)Root-Zertifikat kennen. Dann wird auch keine Nachfrage kommen, da anhand der Root-Zertifikats die Korrektheit der Sparkassen-Zertifikate geprüft werden kann.

Oder verstehe ich das falsch?

Hibiscus sollte also meiner Meinung nach den User dabei unterstützen, die fehlenden Root-Zertifikate zu installieren(z.B. im Dialog "Sicherheitsabfrage", in der Hilfe und/oder mit Links auf HowTos für verschiedene Umgebungen). Alternativ sollte es zumindest darauf hinweisen, dass die Nachfrage kommt, weil das vorliegende Zertifikat nicht anhand eine Root-Zertifikats verifiziert werden konnte.

Grüße
smo