Hallo.
Kann mir jemand helfen das angezeigte Zertifikat zu verifizieren?


Hibiscus hat hier wohl die Angewohnheit weder die angefragten Hostnamen/Adresse/URL mit anzuzeigen, noch den port oder andere Parameter der Verbindung.
Ich habe keinerlei Idee welches Zertifikat ich hier "bejahen" würde oder ob es tatsächlich unmanipuliert ist.
Für eine Banking-Anwendung ist das kein guter (Sicherheits-)Zustand.

Mit der angezeigten Gültigkeit von 10 Jahren ist das Zertifikat definitiv kein Lets-Encrypt zertifikat, also ist es nicht das Zert, das auf der webseite https://repository.frankmuenster.de/ ausgegeben wird (für die es scheinbar gelten soll).
Wie ich nun die Sicherheit/Korrektheit dieses Zertifikates prüfen können soll, ist mir gerade etwas schleierhaft. Die Sicherheitsabfrage ist also sinnlos? Ich kann sie ja doch nur blind abnicken.

Um die Abfrage "klonen" zu können, müsste die Sicherheitsabfrage alle Parameter ausspucken, die nötig sind um die Abfrage testweise mit curl o.ä. nachzubauen (user-agent, port, ip, etc).

Ich würde mir wünschen, das hier etwas transparentere Angaben gemacht würden, so dass man die Verbindung mit OpenSSL bzw. anderen programmen selber testen kann (von diversen Standorten, um eine MITM attacke auszuschließen).
(Natürlich wäre es auch schön, wenn die Jameica Repository-Seiten verifizierbare Zertifikatsinfos/Fingerabdrücke selber bereitstellen würden!)

Danke, und freundliche Grüße.

grundsätzlich hat das doch erstmal nichts mit jameica/hibiscusn direkt zu tun
vielmehr handelt sich um eine Erweiterung von https://progs.frankmuenster.de/ , wenn die dir das nicht zusagt, dann deinstalliere diese

Das ist kein Server-Zertifikat sondern eins für Code-Signierung. Daher kann da auch kein Hostname angezeigt werden. Du müsstest dich hierzu in der Tat mal an Frank Münster wenden. In Jameica findest du unter Datei->Einstellungen u.a. ein Jameica-Stammzertifikat, welches ich verwende, um die Zertifikate der Plugins anderer Autoren zu signieren, damit diese signierte Plugins erstellen können, die von Jameica automatisch als sicher eingestuft werden. Das ist hier nicht der Fall. Frank hat hier ein eigenes Stammzertifikat verwendet, welches Jameica nicht kennt und daher wird der Dialog angezeigt.

Ist es dann vielleicht möglich den Text von "Bitte prüfen Sie die Eigenschaften des Server-Zertifikates [...]" in "Bitte prüfen Sie die Eigenschaften des Codesignatur-Zertifikates [...]" zu ändern, damit eindeutig zu erkennen ist, dass es sich nicht um ein Serverzertifikat handelt?

oder "Bitte prüfen Sie die Eigenschaften des Zertifikates [...]" dann ist unverfänglich

Aber soll es unverfänglich oder unmissverständlich (=eindeutig) sein? Ich bin für unmissverständlich. Stünde da Codesignierung, hätte @pax gemerkt, dass es sich nicht um das Let's Encrypt-Serverzertifikat handelt und die Frage wäre garnicht erst aufgekommen.

Okay, das macht das ganze verständlich!
Ich verstehe jetzt, dass es sich um ein CA Zertifikat zur code-signierung handelt.
Danke für die Aufklärung.

Mit codesignierung ich bin ja etwas vertraut. Aber die Art, wie das Popup-Fenster aufgeht, wenn ich das externe Plugin-repo aktiviere, hat mich gar nicht darauf gebracht, dass es sich hier nicht um Transport-verschlüsselung handeln könnte. Die Abfrage sagt ja auch recht eindeutig "Bitte prüfen sie die Eigenschaften des Server-Zertifikates ...".
Wenn ich meinem PKI-wissen noch trauen kann, ist ein X.509 Zertifikat für Code-Signierung normalerweise nicht als Server-Zertifikat deklariert, sondern per X.509 extension als "codeSigning". Aber vielleicht ist das bei CA zertifikaten nicht so eindeutig?
Kurzum, ich bin aus der Abfrage überhaupt nicht auf die Idee gekommen, das es sich hier um Code-Signierung handeln könnte, das war mein Fehler.


Auch in der Hinweisbox ist übrigens nur die Rede von "Sicherheitsabfragen für die Zertifikate der Server".


(Wäre natürlich toll, wenn die "Installierte SSL Zertifikate"-Tabelle in den System-Einstellungen diese Unterschiede in der Verwendung aufzeigen könnte, da scheinen momentan Zertifikate der Transport-verschlüsselung und Code-signierung zusammengewürfelt vorhanden zu sein.)

---

Ich würde mich natürlich auch damit gerne an Frank Münster wenden. Ist er evtl. hier im Forum vertreten?
Jetzt wo klar ist dass es sich um Code-Signierung handelt, macht es absolut Sinn aus meiner Sicht diese CA Fingerabdrücke/Hashes auch auf der Plugin-Webseite zur Verifizierung anzugeben.
Damit wäre die Frage für mich auch nicht aufgekommen.

Seine Kontaktdaten stehen auf seiner Website. Im Mashup-Forum ist er als kalinrow vertreten.

Ich habe erstmal den Begriff "Server" aus dem Dialog entfernt. Das Anzeigen unterschiedlicher Texte ist nicht so trivial, da der Dialog an einer generischen Stelle aufgerufen wird.