Gestern sollte ich plötzlich während der Konten-Synchronisierung ein neues Zertifikat abnicken. Es ging aus dem Dialog jedoch nicht hervor, was das für ein Zertifikat ist und wie ich es prüfen kann. Da er gerade dabei war, ein NIBC-Konto abzurufen, wendete ich mich an deren Support und fragte ob es ein neues Zertifikat gäbe. Das wurde verneint und mir wurde erklärt, dass bei HBCI-Banking überhaupt kein Zertifikat zur Anwendung kommt, sondern nur auf deren Webseite im Browser.

Kann dazu jemand was sagen? Was war das gestern Nachmittag für ein neues Zertifikat (gestern früh kam das noch nicht) und wo kann ich jetzt nochmal nachsehen, nachdem ich die Gültigkeit bestätigt habe? Ich finde nirgends einen Menüpunkt zu Zertifikaten.

Gleiches uebrigens hier bei Fiducia. Vielleicht nur bei denen? Denn das Zertifikat sah so aus als sei es fuer Fiducia ausgestellt. Allerdings ist es im Gegensatz zu anderen Zertifikatsdialogen in Windows nicht moeglich gewesen die kompletten Daten zu sehen (Zertifkatskette etc.).

Auch bei bei HBCI wird verschlüsselt und es wird auch hier mit Zertifikaten gearbeitet.

Die NIBC ist ja bei der Fiducia und dort wird gerade an den Zertifikaten gearbeitet. Wie übrigens auch bei der GAD, die etwas später aktualisiert.

Ich werde mal ein Thread dazu eröffnen.

Gruß
Raimund

Hallo Zusammen,

Banken, die an der FIDUCIA als Rechenzentrum angeschloßen sind, haben seit dem 16.01 (soweit ich weiß) ein neues Zertifikat für das Internetbanking und HBCI mit PIN\TAN.

Das Zertifikat "hängt" unter einer neuen Root bei Verisign, da diese die Zertifikatsstruktur umstellen - wenn ich das richtig verstanden habe....)

Viele Grüße

Holger

In jedem Fall wäre mein Verbesserungsvorschlag zu Hibiscus, dass in dem Dialog genauere Angaben gemacht werden und man nicht völlig hilflos dasteht - erstmal stand überhaupt nicht dran, welche Bank gerade abgerufen wird, ich konnte das nur im Hintergrund im Logbereich erahnen. Dann fragt man sich, wie man das Zertifikat denn prüfen soll und was passiert, wenn man erstmal auf Nein klickt. Kommt man danach nochmal ran? Oder wenn man auf Ja klickt, kann man es sich dann später nochmal anders überlegen? Wie könnte ich jetzt das Zertifikat wieder sperren? Es ist einfach völlig unklar, selbst für jemanden mit viel Erfahrung, aber natürlich erst Recht für Ottonormaluser, der das Programm ja auch benutzen soll.

Hallo zusammen,

ich bekomme von Hibiskus auch die Sicherheitsfrage zum neuen Zertifikat gestellt. Wie kann ich überprüfen, ob das Zertifikat gültig ist?

Es einfach zu akzeptieren, ist ja wohl nicht im Sinne des Erfinders :? .

Viele Grüße,
Linda

Wende dich an deine Bank und lass dir bestaetigen, dass die in dem Dialog angezeigten MD5- bzw. SHA1-Checksummen des Zertifikates korrekt sind. Allerdings bin ich mir nicht sicher, ob die Mitarbeiter an der Bank-Hotline sich mit sowas auskennen. Denn die kommerziellen Bankingprogramme pflegen in der Regel selbst die Listen dieser Zertifikate und uebernehmen damit quasi die Echtheitspruefung fuer den User. Bei Hibiscus jedoch musst du die Pruefung (insofern das Server-Zertifikat nicht von einer CA signiert ist, die Java bekannt ist) jedoch selbst vornehmen.

In dem Dialog steht doch im "Common Name" der Hostname des Servers, auf den das Zertifikat ausgestellt ist. Damit ergibt sich doch die Bank.



Ich kann mir schon vorstellen, dass sich der User das fragt. Aber was soll ich denn da anzeigen? Wenn man im Internet-Browser auf eine Webseite mit unbekanntem Zertifikat geht, kommt genauso ein Dialog. Und da steht auch nicht, wie man das pruefen kann. Die Standardantwort wuerde lauten: Wende dich an den Aussteller des Zertifikates (z.Bsp. die Bank) und lasse dir von denen die Richtigkeit der MD5- bzw. SHA1-Checksummen bestaetigen.



Ja. Der Vorgang wird abgebrochen. Das Zertifikat wird nicht importiert. Beim naechsten Verbindungsversuch wird der Dialog wieder erscheinen. Genau wie im Browser.



Ja. Es wird unter Datei->Einstellungen in der Liste der vertrauenswuerdigen Zertifikate angezeigt. Dort kannst du es auch wieder loeschen. Genau wie im Browser.



Indem du es aus der Liste der vertrauenswuerdigen Zertifikate loeschst.



ich verstehe das Problem nicht so richtig. Jameica verhaelt sich hier ziemlich genauso wie ein Internetbrowser. Wenn du also Homebanking ueber die Webseite der Bank (und damit im Browser) machst - und dort ebenfalls das Zertifikat nicht bekannt ist - hast du exakt die gleiche Situation. Mit genau den gleichen Optionen.

Es stand "Fiducia IT AG" dran und das sagt mir nichts, und faszinierenderweise auch dem NIBC-Support nicht. Mein Vorschlag, auch anzuzeigen, welcher Vorgang gerade läuft, ist daher sicherlich hilfreich.
Je nach Browser bekommt man aber einen mehr oder weniger hilfreichen Hinweistext, der ein bischen erklärt was das zu bedeuten hat und wie man vorgehen soll - oder gar ein Hilfeknopf mit ausführlicher Hilfe, weiß ich jetzt nicht ob das bei einem Browser zutrifft.
Einfach etwas mehr Information für einen User, der das vielleicht zum ersten Mal sieht, und vielleicht auch im Browser das noch nicht hatte, wäre m.E. gut.
Ich hatte nur in den Hibiscus-Einstellungen gesucht, weil ich nicht auf die Idee kam, dass das was mit dem Framework zu tun haben könnte. Danke.
Auch so ein Hinweis wäre daher gut: "Wenn Sie auf Ja klicken, wird das Zertifikat da und dort gespeichert und zukünftig automatisch verwendet..."
Einfach, damit man genau versteht, was vorgeht und was die Folgen sind.
Ist nur ein Vorschlag, der anderen Usern helfen wird, ich weiß es ja jetzt.

Ansonsten weiter so, seitdem man die Passwörter speichern kann, bin ich begeisterter User

Aber nicht als Hostname sondern als eher als Aussteller/Inhaber. Im Feld "Common Name (CN)" sollte der Hostname stehen. Fiducia ist der IT-Dienstleister deiner Bank, der deren HBCI-Server bereitstellt. Der Name "Fiducia" sollte dir bei der Einrichtung des Bank-Zugangs aufgefallen seien, da er auch in der Server-Adresse des HBCI-Servers der Bank auftaucht.



Bitte? Die sollten doch wenigstens wissen, bei welchem Rechenzentrum sie sind.

CN=hbci11.fiducia.de
Der NIBC-Support versicherte mir ja sogar, dass das Zertifkat nicht mit der Bank zu tun haben kann, sondern nur mit dem Hersteller der Banking-Software.

Saftladen!
Dringend mal deren EB Leiter auf diesen Zustand aufmerksam machen und die Bank wechseln!
Wessen Hotline so wenig Ahnung von Sicherheitszertifikaten im Onlinebanking hat besitzt unrechtmäßig den Namen "Bank".

Tja, Zinsen sind halt alles. Und NIBC hat seit langer Zeit immer die Nase vorn und Erhöhungen gelten auch gleich für Bestandskunden. Daher werde ich wohl eher nicht die Bank wechseln. Auf Platz zwei ist für mich die Bank of Scotland, was die Zinsen in letzter Zeit angeht, aber deren Onlinebanking ist mit Abstand das Letzte und HBCI geht gar nicht.

Pass nur gut auf dein Geld auf! Die eine genannte Bank hat keine Ahnung von Sicherheit im Onlinebanking und die andere ist pleite.
Ob das ein halbes Prozent Zinsen aufwiegt? Viel Geld kannst du eh nicht haben, sonst wärst du nicht dort. Und bei wenig machen weniger Zinsen so wenig aus, dass man es eh nicht merkt.
Aber jedem das seine....

naja, die aussage lässt einiges an interpretationsfreiheit. direkt hat die bank ja auch keinen einfluss auf die zertifikate, sondern das rechenzentrum der bank. trotzdem sollten die dir das zertifikat zur verfügung stellen können. für die aktualität der zertifikate innerhalb der software ist korrekterweise der softwarehersteller verantwortlich, sofern er die zertifikate rechtzeitig zur verfügung gestellt bekommt. wann wie und in welchem update die dann eingepflegt werden ist auch sache des herstellers.

mit pauschalen aussage dass die keine ahnung haben und man die bank wechseln sollte wäre ich vorsichtig!!

Da würde man mit dem Wechseln gar nicht mehr fertig. Die meisten Bank-Mitarbeiter haben von HBCI keine Ahnung. Und wer will wegen sowas schon stundenlang von Pontius zu Pilatus telefonieren oder tagelange Mail-Wechsel führen. Daher wäre es von Vorteil, wenn die Software versucht, das Handling so einfach wie möglich zu machen, das sehe ich wie maf-soft.

Traurig ist es schon, daß es die Fiducia nicht für nötig hält, eine Überprüfung des Zertifikats per Website zu ermöglichen. Das Browser-Zertifikat ist zumindest ein anderes als das, was Hibiscus verwendet.

Von Bank-Mitarbeitern war bei mir auch nicht die Rede sondern von deren Fach-Hotline. Und die sollten das schon wissen, sonst stimmt was nicht in dem Laden.

Moin Gemeinde,

allerdings kann die Telefon-Zentrale der Fiducia auch nix mit dem Stichwort(en) "Zertifikat der Fiducia IT AG" anfangen und will einen an die kontoführende Bank verweisen. Wie bitte? Was für Einfluss/Zugriff hat die Bank auf Zertifikate, die von/für die Fiducia IT und deren Dienstleistungen bzw. Server zum Abwickeln von Services der angeschlossenen Genossenschaftsbanken eingesetzt werden?

Für alle, die die entsprechenden Zertifikate verifizieren wollen:

http://fiducia.de/service/kontakt.html

Ich habe da allerdings seit dem 19.01. schon zweimal was hinterlassen - keinerlei Reaktion! Ziemlich schwach für einen IT-Sicherheitsdienstleister (im weitesten Sinn).

HrY

Hallo zusammen,
auch ich hatte am letzten Freitag in Hibiscus die Rückfrage nach dem Zertifikat! Ich habe daraufhin das Forum durchforstet ( meines Erachtens im Wesentlichen einfach am Nutzer vorbei da keine konkrete Lösung nachvollziehbar dargestellt - sorry, aber das ist mein Eindruck ) und mich dann an das Rechenzentrum der Bank ( Hannoversche Volksbank ) gewendet. Nach nunmehr vier Telefonaten ( einschließlich Heute ) ist herausgekommen:

Wenden Sie sich bitte an den Softwarehersteller; dieser hat die Zertifikatsdatei erhalten und muss diese in sein Programm einpflegen!

Meine Nachfrage: OK, dass kann ich nachvollziehen, könnten wir jedoch zuvor kurz das Zertifikat abgleichen? Wenn Sie es an die Softwarehersteller senden muss es ja in Ihrem Haus verfügbar sein!
Antwort: Da können wir Ihnen wie gesagt nicht weiterhelfen, da wir das Zertifikat hier nicht einsehen können!

Also bin ich jetzt so schlau wie vorher! Bisher ist die Zertifikatsabfrage nicht noch einmal erschienen - auch nicht beim Testen des Sicherheitsmediums. Allerdings habe ich bisher auch kein geändertes Zertifikat bestätigt!

Hat sich das jetzt für mich erledigt oder bekomme ich in nächster Zeit wieder die Zertifikatsanfrage von Hibiscus und stehe dann vor dem gleichen Problem??

Da muss sicherlich dringend eine Lösung her, denn das ist kein Zustand für die Nutzer, wenn ihnen noch nicht einmal das Rechenzentrum der Bank weiterhelfen kann. Und es kann aus meiner Sicht auch nicht sein, dass man ein solches Fenster erhält ohne dass hier gesagt wird was man als Nutzer zu tun hat bzw. wo man die erforderlichen Informationen herbekommt.

Die konkrete Loesung lautet: Der User muss das Zertifikat im Zweifel selbst pruefen. Ich weiss, dass das ggf. keine leichte Aufgabe fuer den User ist - zumal die Bank-Hotlines hier leider auch oft nicht weiterhelfen koennen.
Ich sehe aber nicht ein, warum die Banken bzw. Rechenzentren diese Aufgabe dann generell pauschal auf den Anbieter der Software abwaelzen. Denn damit traegt er quasi die Verantwortung fuer die Richtigkeit der Zertifikate. Verantwortlich sollten hier aus meiner Sicht aber die Banken/RZ sein.



Hat er nicht. Mich hat jedenfalls keine einzige Bank ueber irgend einen Zertifikatswechsel benachrichtigt. Und eigentlich will ich das auch nicht. Das ist aus meiner Sicht eine Sache zwischen Bank und User. Wenn man Internetbanking ueber den Web-Browser macht, ist das doch genauso. Es erfolgt eine Verifizierung gegen die mitgelieferten Stammzertifikate (bei Hibiscus werden diese von Java mitgeliefert). Wenn sich das Bank-Zertifikat nicht gegen dieses pruefen laesst, erscheint der besagte Dialog. Genau wie im Browser. Die Banken schreiben doch auch nicht Mozilla an, damit ihr neues Server-Zertifikat in Firefox landet.



Du koenntest die PIN/TAN-URL ja einfach mal in einem Browser (sinnvollerweise von einem anderen Rechner aus) eingeben und das im Browser angezeigte Zertifikat mit dem in Hibiscus vergleichen. Damit hast du es zumindest rudimentaer gecheckt.



Du hast das Zertifikat jetzt in Jameica importiert. Es wird dir unter Datei->Einstellungen->Zertifikate auch angezeigt. Solange die Bank dieses Zertifikat verwendet, erfolgt kein neuer Warnhinweis.



Was sollte ich denn sinnvollerweise in dem Dialog anzeigen? Wenn selbst die Hotline an der Bank nicht weiterhelfen kann, kann ich ja nicht hinschreiben: "Wenden Sie sich an Ihrer Bank, um den Finger-Abdruck des Zertifikats mit dieser abzugleichen."

Ich weiss, dass das fuer unbedarfte User kein schoener Zustand ist. Aber zu dieser Situation sollte es eigentlich ueberhaupt nicht kommen, wenn die Bank Zertifikate verwendet, die von einer bekannten CA signiert sind, die im Stammspeicher von Java enthalten ist (was der Normalfall sein sollte). Sprich: Die Tatsache, dass Hibiscus hier einen Warnhinweis bringt, ist aus meiner Sicht durchaus berechtigt. Er zeigt, dass das Zertifikat nicht so aussieht, wie es sollte.