Hallo,

ich wollte gerade mit Jameica (1.8.0) / Hibiscus (1.10) meine Kontoauszüge holen, da bekomme ich die Fehlermeldung, dass das Zertifikat nicht bekannt sei.

Die Daten des Zertifikats:
hbci-pintan-he.s-hbci.de
Finanz Informatik GmbH & Co. KG

valid from: Tue Aug 25 02:00:00 CEST 2009 to: Thu Nov 25 00:59:59
Aussteller: VeriSign

MD5: 59:7C:89:EA:E8:70:98:13:61:C9:A2:5B:27:B4:FE:9D
SHA1: 2D:AE:1E:98:79:C4:7B:B2:24:04:5D:37:01:F1:34:73:5B:7E:89:46

Das Ganze betrifft Konten bei der Frankfurter Sparkasse und der Nassauischen Sparkasse (Naspa).

Kann mir jemand sagen, ob das Zertifikat ok ist oder ob mir jemand etwas unterjubeln möchte?

Vielen Dank und viele Grüße!

Jameica besitzt "ab Werk" einen leeren Truststore. Abgesehen von dem Jameica-eigenen Zertifikat vertraut Jameica - und damit auch Hibiscus erstmal ueberhaupt niemandem. Von daher ist es normal, dass beim ersten Aufruf dieser Warnhinweis kommt. Du kannst uebrigens unter Datei->Einstellungen nachschauen, welche Zertifikate du bereits als vertrauenswuerdig eingestuft hast.



Oeffne doch einfach mal einen Browser und gib https://hbci-pintan-he.s-hbci.de ein. Da kommt zwar eine Fehlermeldung. Die HTTPS-Verbindung kommt aber trotzdem zustande. Also kannst du im Browser auch die Hashwerte des Zertifikates mit denen vergleichen, die dir Hibiscus anzeigt. Wenn sie uebereinstimmen, kannst du davon ausgehen, dass sowohl Browser als auch Hibiscus auf den gleichen Server zugegriffen haben. Anschliessend solltest du die Webseite deiner Bank besuchen. Dort sollten eigentlich die gleichen Hash-Werte von deren HBCI-Server irgendwo abgedruckt sein. Ob du der Sache jetzt vertraust, musst du nun selbst einschaetzen. ;)



Das musst du selbst entscheiden. Da darfst du nicht auf die Aussage von Usern hier vertrauen.

Richtig.

Trotzdem sei angemerkt, das die SSL Zertifikate der HBCI-Server regelmäßig, meistens jährlich getauscht werden. Für Sparkassen gilt: Das alte Zertifikat des obigen (Hessen) und eines weiteren Systems (für Westfalen-Lippe) wäre am 22.10.09 verfallen, es wurde heute früh gegen ein neues getauscht.

Es kann also sein, das dich die Sicherheitsnachfrage trifft, obwohl es sich nicht um eine Neueinrichtung von Hibiscus handelt.

Hallo,
vielen Dank für eure Antworten.

Ich hätte erwähnen sollen, dass ich Hibiscus schon länger benutze und daher etwas überrascht über die Zertifikatsanfrage war - könnte ja ein Man-in-the-Middle-Angriff sein. Klar, dass ich das nicht von irgendwelchen Forumsaussagen abhängig machen kann, aber es wäre ja möglich, dass jemand einen Link zu einer offiziellen Seite hat o.ä.

Aber der Tipp mit dem Zertifikat im Browser prüfen war gut, der Fingerabdruck passt. Ich habs jetzt akzeptiert.

Nochmal vielen Dank für eure Hilfe!

Eigentlich haette ich gedacht, dass die Bank die geaenderten Hash-Werte der neuen Zertifikate auch auf ihrer Webseite bekannt gibt. Auf www.s-jena.de finde ich aber nichts.

Hier steht was: https://www.s-jena.de/module/s…@044@@IF#6

Wenn etwas veröffentlich wird, sind das die Hashwerte der Zertifikate für die Browser Anwendung bzw. die Portaloberfläche. Die sind erstens grundsätzlich nur manuell zu kontrollieren und zweitens Bankspezifisch. Der Link von Michael ist auf den ersten Blick auch nur das Zertifikat für das Portal.

Die Server-Zertifikate für Softwareprodukte habe ich noch nirgendwo als Hashwert gesehen. Die werden durch die Client-Software geprüft und ich würde überschlägig sagen bis auf zwei Ausnahmen auch durch die Client Software mitgebracht und getauscht. Die Anzahl ist auch gleich nur ein Bruchteil der obigen Zertifikate.

Das Infoangebot um jede Ausnahme aufzublähen ist sicher nachvollziehbar nicht sinnvoll. Man will ja wesentliche Informationen vermitteln und nicht durch Vielfalt verwirren....

Im Prinzip ist die Veröffentlichung der Hashwerte auf der eigenen Homepage doch eh zumindest zweifelhaft. Ich habe dabei keinen unabhängigen Kanal für die Übermittlung.

hm, das ist aber nicht schön. Es gibt also keine Möglichkeit, die Gültigkeit des Zertifikates zu überprüfen?
In Hibiscus sind sie nicht mitgeliefert, auch keine entsprechenden Root-Zertifikate. Im Web bekommt man sie nicht.
Bleibt nur bei der Hotline anrufen und vorlesen lassen?
Wie wäre es denn, wenn Hibiscus angibt, ob das alte Zertifikat denn abgelaufen ist: wenn mir jemand per Man-in-the-middle ein anderes unterschieben will, obwohl das alte nicht abglaufen ist, dann werde ich schon mal hellhörig.

Gruß,
Pfeffer.

Na doch. Du hast es doch selbst geprueft.



Der TrustManager von Jameica befragt vorher noch den von Java selbst. Aber offensichtlich liefert SUN in Java keine sonderlich umfangreiche Liste mit.

Unabhaengig davon bin ich mir persoenlich gar nicht sicher, ob ich das Mitliefern der (Root-) Zertifikate wirklich gut finden soll. Schliesslich wird damit ja die Verantwortung ueber die Validierung - und somit ueber die Herstellung der Vertrauensstellung zwischen Client und Server - vom User auf den Software-Anbieter (in dem Fall also auf mich) abgewaelzt. Indem ich einen Pool von Root-Zertifikaten verwalte und diese "ab Werk" mit Hibiscus/Jameica ausliefere, kann ich entscheiden, was vertrauenswuerdig ist und was nicht. Der User wuerde dann meiner Vorauswahl blind vertrauen - er wuerde nicht mal mehr einen Warnhinweis sehen.



Das tut Hibiscus auch. Das Zertifikat wurde aber getauscht, kurz bevor es abgelaufen ist. Und so ist das eigentlich auch richtig. Abgelaufene Zertifikate findet man eigentlich nur dann auf Servern, wenns der zustaendige Admin verpennt hat ;)



Das ist ja auch sehr richtig so.

Aus meiner Sicht erfuellt das Verfahren da genau seinen Zweck. Der User wird gewarnt und kontrolliert daraufhin das Zertifikat.

Aber das ist meine Meinung.

Die Frage ist doch, wie ich als User das Zertifikat "prüfe". Realisischerweise drücke ich einfach auf "ok". Wie kann ich es unterscheiden von einem Zertifikat, das mir jemand per man-in-the-middle unterschieben will?

Ich kann verstehen, dass Du nicht die Verantwortung für die Root-Zertifikate übernehmen willst, weil man da Angst haben könnte für Fehler haftbargemacht zu werden. Aber das ist ein anderes Argument.

Ich denke, dass Nutzer bei einem berechtigten Zertifikat die gleiche Meldung wie bei einer Man-in-the-Middle-Attacke bekommen, dürfte einer der wichtigsten Ursachen dafür sein, dass Man-in-the-Middle-Attacken in der Regel gelingen bzw. nicht am Zertifikat scheitern. Deswegen halte ich es für wichtig, dass diese Meldung normalerweise nicht kommt. Zumindest aber sollte dem Anwender ein Hinweis gegeben werden, wie er die Korrektheit des Zertifikates überprüfen kann.
"Drücken Sie nicht direkt auf 'ok', sondern rufen Sie die Hotline ihrer Bank an und fragen Sie, ob der oben genannte Fingerprint korrekt ist."

Gruß,
Pfeffer.

Hallo,

grundsätzlich sehe ich das ebenso wie ihr: Es ist nicht Aufgabe von Jamaica/Hibiscus Zertifikate auszuliefern. Die Applikation verhält sich hier technisch völlig korrekt. Auf der anderen Seite ist es für den technisch nicht versierten User auch nicht zumutbar, die Zertifikate "händisch" zu prüfen.

Das Problem ist meiner Meinung nach, dass der User jedes Zertifikat selbst kontrollieren und verifizieren soll(Anruf bei der Bank/Check der Hashes). Aber gerade hier sollte doch der Mechanismus der Root-Zertifikate greifen: Die Java-Installation des Users muss das (Verisign-)Root-Zertifikat kennen. Dann wird auch keine Nachfrage kommen, da anhand der Root-Zertifikats die Korrektheit der Sparkassen-Zertifikate geprüft werden kann.

Oder verstehe ich das falsch?

Hibiscus sollte also meiner Meinung nach den User dabei unterstützen, die fehlenden Root-Zertifikate zu installieren(z.B. im Dialog "Sicherheitsabfrage", in der Hilfe und/oder mit Links auf HowTos für verschiedene Umgebungen). Alternativ sollte es zumindest darauf hinweisen, dass die Nachfrage kommt, weil das vorliegende Zertifikat nicht anhand eine Root-Zertifikats verifiziert werden konnte.

Grüße
smo