Einige User stolpern wohl über die Hinweise bei der Datenübertragung, dass das Serverzertifikat geprüft werden müsse. Mir war das auch entfallen, abgelaufen wäre das alte Zertifikat eigentlich erst in 10 Tagen, es ist wohl heute am Server getauscht worden...
Da Hibiscus keine Zertifikatsverwaltung hat, werden einigeUser nach einer Bestätigung gefragt.
Bevor man verwirrte Banker wie mich fragt: Das Zertifikat kann man am besten selbst in einem Browser mit eigener Zertifikatsverwaltung auf den Besitzer (FIDUCIA & GAD IT AG heißt jetzt das neue Rechenzentrum) prüfen und den Fingerprint mit dem aus Hibiscus vergleichen. Ein aktueller Firefox sollte geeignet sein.
Webadresse: https://hbci-pintan.gad.de/cgi-bin/hbciservlet

Vermutlich würde ein Java-Update auch helfen, aber da es hier einige Probleme gab, kann ich verstehen, wenn man das erstmal nicht machen möchte.

Gruß
Raimund
Edit: Ich weiß, wie die Fachleute darüber denken, DNS-Spoofing kenne ich auch. Allerdings halte ich hier die Gefahr für sehr gering, da man beim PIN & TAN-Verfahren auch sicher über einen Auftrag prüfen kann, mit wem man verbunden ist.

Danke fuer den Hinweis.

Noch ein kleiner Nachtrag von mir: Wenn die Java-Installation einigermassen aktuell ist und das Aussteller-Zertifikat kennt, mit dem das Server-Zertifikat des GAD-Servers signiert ist, und wenn unter Datei->Einstellungen die Option "Den Aussteller-Zertifikaten von Java vertrauen" aktiviert ist, dann sollte das neue Zertifikat auch so ohne weitere Rückfragen validiert werden können.

[i]Bevor man verwirrte Banker wie mich fragt: Das Zertifikat kann man am besten selbst in einem Browser mit eigener Zertifikatsverwaltung auf den Besitzer (FIDUCIA & GAD IT AG heißt jetzt das neue Rechenzentrum) prüfen und den Fingerprint mit dem aus Hibiscus vergleichen. Ein aktueller Firefox sollte geeignet sein.
Webadresse: https://hbci-pintan.gad.de/cgi-bin/hbciservlet[/i]

Und wo bitteschön bekomme ich den korrekten Fingerprint her?

Adresse im Browser öffnen, Schloss prüfen und vergleichen.

@schneibva: Deine Jameica-Version ist uebrigens nicht mehr ganz frisch. Seit Jameica 2.6.2 (wird dir oben im Menu unter "Hilfe->Über..." angezeigt) zeigt Jameica in dieser Zertifikats-Sicherheitsabfrage im Abschnitt "Fingerabdrücke" nicht mehr den veralteten MD5-Fingerabdruck an sondern stattdessen den SHA256-Fingerabdruck. Der zugehörige Fingerabdruck im Browser wird dir - wie folgt angezeigt.

Beispiel Firefox:

1) https://hbci-pintan.gad.de im Browser öffnen
2) Rechtsklick auf die Seite und im Kontextmenu "Seiteninformationen anzeigen" klicken
3) In dem Fenster oben auf das Schloss-Symbol mit dem Text "Sicherheit" klicken
4) Dann auf den Button "Zertifikat anzeigen"

Dort werden dir SHA1- und SHA256-Fingerabdrücke angezeigt. Vergleiche sie mit den Werten von Jameica. Wenn sie stimmen, ist es die selbe Webseite.

Ich habe Jameica 2.7.0 und Hibiscus 2.6.14 (BS: Ubuntu), das müssten die aktuellen Versionen sein.

Beim Aufruf der GAD-Seite kommt erst mal "forbidden", sehe ich mir dann das Zertifikat an, kann die Sicherheit nicht überprüft werden, siehe Anlage. Das ganze passiert bei mir, wenn ich ein Konto der Renault-Bank abrufe, bei Sparkasse, Postbank und Deutscher Bank ist alles ok.

VG S.

Wo ist jetzt noch das Problem? Auf deinem Screenahot wird doch das Zertifikat angezeigt.

Nochmal: Ich verstehe echt nicht, wo da jetzt dein Problem ist. Auf https://hbci-pintan.gad.de/ wird im Browser als SHA1-Hash "FC:68:....79:2E" angezeigt. Vergleiche das mit dem SHA1-Hash, der in Jameica angezeigt wird. Siehe dein Posting weiter oben: http://www.onlinebanking-forum…real121583

Sind die identisch oder nicht?

Dein letzter Screenshot, in dem du farbig die Versionsnummer von Jameica mit der vom Plugin "jameica.ca" vergleichst, macht keinen Sinn und spielt hier auch keine Rolle.

Das Forbidden kommt schon vom GAD-Server und heißt einfach, das Browsen hier nicht erlaubt ist. Gibt auch nix zu sehen, denn der Server ist für FinTS/HBCI da.
Klick mal oben auf den ersten link in meinem Beitrag, dann kommt ein anderer Hinweis, der macht das deutlicher
Gruß
Raimund

Klar wird mir beim Aufruf von https://hbci-pintan.gad.de/ ein Zertifikat angezeigt, [b]ABER:[/b] das Zertifikat kann nicht verifiziert werden.

[b]Ein solches Zertifikat ist ein starker Hinweis darauf, dass da etwas faul ist, dazu ist der Zertifikats-Test in Firefox ja da.[/b]

[quote="hibiscus"]
Dein letzter Screenshot, in dem du farbig die Versionsnummer von Jameica mit der vom Plugin "jameica.ca" vergleichst, macht keinen Sinn und spielt hier auch keine Rolle.
[/quote]

@hibiscus
Das war für Dich, da in der Fensterzeile oben eine andere Vesrion angezeigt wird als tatsächlich installiert ist.

[quote="hibiscus"]
Nochmal: Ich verstehe echt nicht, wo da jetzt dein Problem ist. Auf https://hbci-pintan.gad.de/ wird im Browser als SHA1-Hash "FC:68:....79:2E" angezeigt. Vergleiche das mit dem SHA1-Hash, der in Jameica angezeigt wird. Siehe dein Posting weiter oben: http://www.onlinebanking-forum…real121583
Sind die identisch oder nicht?
[/quote]

Das ist doch logisch, dass die identisch sind. Hibiscus holt sich das Zertifikat von https://hbci-pintan.gad.de, erkennt, dass es nicht verifiziert werden kann und meckert. Firefox holt sich ebenfalls das Zertifikat von https://hbci-pintan.gad.de, es kann nicht verifiziert werden, also gibt es eine Warnung. Die Zertifikate sind identisch, weil sie von der gleichen Webseite stammen.

Da gibt es 2 Möglichkeiten. Die Macher der Webseite haben ein neues Zertifikat (Gültigkeitsbeginn: 02.12.2015) nicht richtig auf ihrem Server installiert, die ausstellende Organisation VR-Ident ist dem Zertifikats-System (noch) nicht bekannt. Das wäre harmlos. Es kann aber auch sein, dass da jemand mit unfreundlichen Absichten die Webseite manipuliert hat. Dass die Banken nicht immer gut aufpassen, hat ja die Konto-App der Sparkassen gezeigt.

Mein Firefox verifiziert das Zertifikat ohne Probleme.

Firefox verwaltet ja die Zertifikate selbst, ist die Version aktuell?
Oder liegt es gar an der Sprachversion?
Gruß
Raimund
Ergänzung: Bei mir läuft 43.04

So, jetzt hab ich's.

Bei mir läuft das meiste mit Linux, auch Firefox 43.0.4 und auch Hibiscus. Bei Linux werden die Zertifikate vom BS verwaltet. Ich hab das mal mit Windows 7 ausprobiert, da meckert FF 43.0.4 nicht. Es ist also so, dass das die ausgebende Stelle VR Ident des relativ neuen Zertifikates (gilt erst ab 02.12.2015) in Linux noch nicht bekannt ist, die haben sich ja erst vor kurzem umbenannt.

Der SHA-1 bei FF unter Windows ist identisch mit dem unter Linux, da kann ich ja Linux das neue Zertifikat beibringen.

Nachdem bei Online-Banking derart viel getrickst wird, hat mich das natürlich erst mal misstrauisch gemacht.

Danke an alle!

In meinem FIrefox 43.0.3 auf Fedora Linux 22 wird das Zertifikat ohne irgendwelche manuellen Anpassungen direkt akzeptiert.

Ich setze unterwegs Xubuntu 15.10 ein, zuhause Ubuntu 14.04, keine Probleme mit den Zertifikaten unter FF.
Gruß
Raimund