Folgende Fehlermeldung bei einer VR-Bank am Rechenzentrum GAD kann auftreten:
"Es sind keine Sperrinformationen für das Sicherheitszertifikat dieser Seite verfügbar. Möchten Sie den Vorgang fortsetzen?"

Leider nützt es gar nichts, den Vorgang fortzusetzen, es hilft aber, die Überprüfung auszuschalten.

Auf eigene Gefahr:
Ein Workaround: In den Internetoptionen die Überprüfung auf gesperrte Serverzertifikate deaktivieren. Zu finden sind die Einstellungen in der Windows-Systemsteuerung.

Wir haben unter

http://wiki.windata.de/index.p…%C3%BCgbar

eine Anleitung zur Behebung des Zertifikatproblems erstellt.

naja, eigentlich nur zur umgehung, das problem mit den zertifikaten ist damit ja noch nicht gelöst. da es sich hier um einen eingriff in die sicherheitseinstellungen handelt würde ich das so auch nicht als (end)lösung deklarieren. schließlich sollen die bestehenden sicherheitsprüfungen ja aufrecht erhalten bleiben können.
aber das nur am rande :mrgreen:

Findet ihr, das ist eine "Behebung"?
Ich finde, das ist eine Zumutung und höchstens ein Workaround. Der Benutzer soll mal wieder seine Sicherheitseinstellungen herabsetzen, weil etwas außerhalb seines Einflussbereichs nicht funktioniert?
Kann man nicht wirklich ernst meinen, oder? Gerade beim Onlinebanking...

Was ist denn die Ursache für den Fehler? Und wieso wird die nicht behoben?

genau deswegen... :mrgreen:

Das Problem ist anscheinend erledigt.

An alle, die hier die Sicherheit unserer Produkte in Frage stellen:

Der Fehler hatte wohl seine Ursache darin, dass die CRL (also die Liste der zurückgezogenen/gesperrten Zertifikate) kurzfristig nicht zur Verfügung stand. Da der Fehler nicht mehr auftritt, hat man das an der entsprechenden Stelle wohl gemerkt und behoben. Es war also kein Fehler von windata, um das nochmals klarzustellen.

Unsere Anleitung war dazu gedacht, dass unsere Kunden kurzfristig wieder arbeiten können und nicht als dauerhafte "Einrichtung". Es ist ein workaround, auch wenn dieses so nicht bezeichnet wurde.

Dass andere Programme diesen Fehler nicht produziert haben, kann nur bedeuten, dass diese die Prüfung überhaupt nicht durchführen bzw. durchgeführt haben. Das wäre dann eine eklatante Sicherheitslücke. Vielleicht sollten die, die windata einen laxen Umgang mit der Sicherheit vorgeworfen haben, nun mal bei ihren Herstellern nachfragen, warum der Zertifikatsfehler von ihren Programmen nicht entdeckt bzw. evtl. sogar ignoriert wurde.

Viele Grüße aus dem Allgäu

Stefan Balk

Glaube nicht, dass das der Fall ist. Nur der Begriff "Behebung" war extrem unzutreffend. Um eure Software ging es in keinem Wort.

ist so nicht richtig, einige programme bringen eine eigene zertifikatsverwaltung mit und sind so auch nicht in diesen fehler gerannt.

Das kann man so nicht vergleichen!
Der Fehler, der hier aufgetreten ist, hat von meinem Verständnis her nichts mit irgendeiner installierten Software zu tun!
Die Zertifikatverwaltung aus Windows, prüft online, ob das Zertifikat, was da verwendet werden soll, ggf. in einer Sperrliste aufgeführt ist. Der Server, der die Anfrage nach der Sperrung beantworten sollte, schien nicht online zu sein, so dass eine Sperrabfrage nicht möglich war. Produkte, die die Zertifikatsverwaltung von Windows nutzen sind daher auf einen Fehler gelaufen, den sie selber aber nicht zu verschulden haben!
Der Workaround hat nur diese Sperrabfrage deaktiviert.

Ob andere Kundenprogramme, zu jedem Zertifikat, dessen Echtheit sie selber überprüfen auch abfragen ob das Zertifikat gesperrt ist, glaube ich nicht! Ob eine fehlende Sperrabfrage hier ein echtes Sicherheitsrisiko darstellt, ist eine andere Sache (Wenn das Zertifikat für das Onlinebanking gesperrt werden muss, hat die Bank ganz andere Probleme.....)

Daher ist das Ganze nicht zu vergleichen. Die Aussage von Stefan zu den anderen Produkten ist auch nicht ganz sauber, aber man darf sicherlich hinterfragen, wie wer was gelöst hat.
Windata selber kann man hier sicherlich auch nicht vorwerfen mit irgendwelchen Sicherheitsmechanismen zu lasch umzugehen!

Viele Grüße

Holger

Du hast sicherlich recht, Holger. Nur einige im Forum haben gleich mit der "Sicherheitskeule" gewunken:



Und: Wir hatten hier nichts zu beheben. Nur unsere Kunden sollten weiter arbeiten können und deshalb die Anleitung. Ich denke, das ist doch nur redlich, oder?

Vielleicht sollten wir uns aber zukünftig mit Hilfestellungen zu Fehlern/Problemen hier etwas zurückhalten...

Viele Grüße aus dem Allgäu

Stefan

Hi Stefan,

ich sehe das wie Du. Ihr hattet nichts zu beheben! Und der Workarround war das was er sein sollte ein Workaround.
Problem ist, dass die meisten Leute nicht verstanden haben, was da deaktiviert wurde und welche Auswirkungen es ggf. für was hat.
Tja, hilft man dem Kunden nicht mit einer AdHoc Lösung ist man kundenunfreundlich, macht man es doch, ist man auch der Böse......

Viele Grüße ins Allgäu

Holger

definitiv! wie bereits geschrieben hätte ich nur vereinzelnd andere worte verwendet um genau solche diskussionen und anschuldigungen zu vermeiden. dass ihr nicht die ursache seit oder da was zu beheben hat kann man eigentlich dem titel schon entnehmen, oder zumindest reininterpretieren. ein weiterer kleiner hinweis darauf hätte aber vermutlich auch schon gelangt um den anschuldigungen auszuweichen. (der erste der zuckt bekommts halt immer ab )

wie holger schon schrieb:

:roll:


wäre sehr schade...

...wenn es um Fehler geht, deren Ursache nicht in eurem Einflussbereich liegt wäre das besser, ja. Zumindest ist das meine Meinung. Lass doch den Verursacher die Hose runterziehen und ihn zugeben, dass er es derzeit nur mit Workaround umgehen kann. Das müsst ihr doch nicht übernehmen

Hallo obnutzer,

vielleicht solltest Du in deinen Beiträgen auch nicht immer so scharf schießen und etwas überlegter und ruhiger an die Sache herangehen.
"Nach meiner Meinung" (um Dich einmal zu zitieren), schießt Du teilweise sehr scharf.

Dieses Forum heißt nicht umsonst "homebanking-hilfe", es geht darum, Programmnutzern und/oder InternetBanking-Kunden bei Problemen zu helfen und nicht um: Wer kann am schnellsten und schärfsten schießen.

Teilweise hat man (zumindest ich) im weiteren Verlauf der Beiträge den Eindruck, das Du es nicht so gemeint hast, wie Du es zunächst geschrieben hast. Also etwas bedachter und ruhiger an manche Dinge gehen, schadet idR nie.

Vielleicht hat hier in diesem Fall sich jemand auch angegriffen gefühlt, weil man in die Wunde gefaßt hat?

Sag doch mal selbst Klopfer, kannst du es für gut heißen, dass man in einem Onlinebanking-Forum rät, die Zertifikatsprüfung auszuschalten?
In einem Umfeld, wo es so sehr um Sicherheit geht wie in keinem anderen wird soetwas geraten?
So wie einige Banken empfehlen, die Browsersicherheit runter zu schrauben, damit man deren mit JS und Active Scripting vollgeladenen Seiten überhaupt nutzen kann?

Ich finde diese Tatsachen bedenklich und scheue mich nicht, das auch zu sagen. Wenn das als "scharf schießen" empfunden wird ist man m.E. zu zart besaitet für das Thema.

Wenn beim Auto die Bremsen nicht funktionieren nimmst du ja auch ein anderes Auto und willst nicht lesen, dass du auf eigene Gefahr vorübergehend nicht bergab sondern nur bergauf fahren könntest, oder?

Und wenn ich das hier lese...

...erkenne ich doch im Nachhinein einen gewissen Eifer, von irgendetwas abzulenken?
Warum hat die Software nicht erkannt, dass die Liste nicht zur Verfügung stand und entsprechend darauf reagiert?
Wieso kam nicht einfach ein Hinweis, dass die Liste fehlt und die Frage, ob der Benutzer trotzdem weiterarbeiten will?

Und dann kommt noch der Nachtritt:

Hmmm, und wenn andere Programme einfach besser abfangen, wenn die Liste temporäre nicht verfügbar ist? Käme das nicht in Frage?

Tut mir leid aber dieser ganze Eifer und diese Äußerungen sind mehr als OBERFAUL!
Und das hat weder mit mir zu tun noch damit, dass irgendjemand scharf schießt....
Es wurde einfach nur ins Schwarze getroffen, so einfach ist das.

Ich stimme dir zwar grundsätzlich zu, dass es bei Diskussionen in Fragen der Sicherheit ruhig mal etwas härter zugehen darf, allerdings finde ich die Zertifikats-Problematik nicht so dramatisch.

In XP ist meines Wissens diese Prüfung gar nicht aktiv und wenn andere Programme wirklich nicht auf zurückgezogene Zertifikate prüfen, weil sie die Zertifikate selbst verwalten, könnte das doch auch ein immenser Sicherheitsvorteil sein, oder? Schließlich wird doch heutzutage meines Wissens wesentlich häufiger das Betriebssystem infiziert, als ein Onlinebanking-Proggi

Lasst uns das mal sachlicher besprechen, damit die Emotionen nicht die grundsätzlich wichtige Thematik überdecken.

Gruß
Raimund

Wieviel die CRL/OCSP-Prüfung tatsächlich zur Sicherheit beiträgt ist durchaus diskutierbar. Schliesslich kann man einer CA, die sich die Root-Schlüssel entwenden lässt, auch nicht gerade vertrauen, die gefälschten Zertifikate zeitnah zu widerrufen.
Die Zertifikatskette von hbci-pintan.gad.de ist übrigens weiterhin nicht in Ordnung. Dem Zwischenzertifikat VR IDENT SSL CA 2009 fehlt ein cRLIssuer im DistributionPoint. Nach RFC 5280 zwingend, falls Issuer von Zertifikat und CRL sich unterscheiden. Was hier der Fall ist. Die seit Mac OS X 10.7 defaultmäßig aktivierte CRL-Prüfung lehnt das Zertifikat deswegen korrekterweise ab. Die CRL-Prüfung anderer Betriebssysteme entspricht anscheinend nicht dem RFC (?).
Wir hatten das Problem bereits am 6. Juli der GAD mitgeteilt. Am 9. August dann nochmals mit Hinweis auf den cRLIssuer.
Eric

Ich beende dieses Thema nun mit der Schlußfolgerung, dass eine weitere Veröffentlichung von Problemlösungen und workarounds zu unseren Produkten hier von einigen nicht mehr gewünscht werden.

Dann belassen wir es dabei und wir überlegen uns, ob wir unsere Kunden in Zukunft nahelegen ausschließlich unsere eigenen Supportmöglichkeiten zu nutzen. Ich habe einfach keine Lust mehr, mich von einigen, die glauben besonders schlau und wichtig zu sein, hier unsachlich angreifen zu lassen.

Viele Grüße aus dem Allgäu

Stefan Balk

Finde diese Reaktion etwas überzogen.
Es muss doch erlaubt sein, Kritik daran zu äußern, dass der typische Verbraucher seine Sicherheitseinstellungen anfassen muss, weil irgendwelche Institutionen irgendwelche Zertifikatslisten nicht auf die Reihe bekommen oder eben die Software mit deren Nichterreichbarkeit nicht umgehen kann, oder?
Im übrigen haben sich gerade mal 2 User dazu kritisch geäußert. Du machst daraus gleich ein "einige"? Warum übertreibst du so?


Stefan, sorry aber hier war rein garnichts unsachlich. Es ging und geht ausschließlich um die Sache und nicht um deine Person und schon garnicht, schlau oder witzig zu sein. Niemand hat dich oder deine Einsatzbereitschaft kritisiert sondern nur die Sache an sich. Zumindest ist es so gemeint.
Klar ist es grenzwertig aber das ist das ganze Leben Ich kann sogar verstehen, dass du ein wenig eingeschnappt bist. Allerdings hätte ich es besser gefunden, du hättest es weniger persönlich genommen und stattdessen mehr zur Technik erklärt.
Zum Beispiel die Frage, warum Eure Produkte damit anscheinend nicht klar kommen, wenn diese komische Liste nicht erreichbar ist.
Im Moment machst du auf mich den Eindruck, dass dir das sachliche Thema an sich eher unangenehm ist und du deshalb auf die emotionale Schiene wechselst. Finde ich schade.