Hallo zusammen!

Ich bekomme die letzten paar Tage eine Sicherheitsabfrage, die mich fragt, ob ich dem Zertifikat vertrauen möchte. Leider findet man in der Sicherheitsabfrage nur ein paar Angaben zu dem Zertifikat an sich, aber weder aussagekräftige Angaben zu der Vertrauenswürdigkeit noch das Zertifikat selbst zum Download. Ein paar Punkte die mir auffallen:

• Nirgendwo steht wofür dieses Zertifikat verwendet wird. Aus dem Kontext kann man vermuten dass es eventuell um einen Online-Update-Check handeln könnte, aber das steht nirgendwo!
  
• Die CA wird zwar angegeben, aber es stehen nirgendwo nachvollziehbare Angaben zur CA, wie z.B. deren Fingerabdruck.
  
• Der Common Name des Zertifikats müsste eigentlich "www.open4me.de" lauten, ein "https://" im CN ist höchst... merkwürdig (mal abgesehen davon dass es falsch ist).
  
• Für https://www.open4me.de existiert bereits ein offizielles StartSSL-Zertifikat, was an dieser Stelle erstaunlicherweise nicht genutzt wird. Zwei (gültige?) Zertifikate für die gleiche Ressource auszustellen erscheint mir auch keine gute Vorgehensweise zu sein...
  

Alles in allem bleibt an der Stelle natürlich nur das Zertifikat abzulehnen.

Kann mir jemand erklären was es damit auf sich hat?

Grüße

Fingerabdruck passt aber siehe hier http://www.onlinebanking-forum…real123757 Olafs post

Okay, danke für die schnelle Antwort. Ändert aber nichts daran das der Dialog - sagen wir mal "verbesserungswürdig" ist.

Was ist der beste Weg um den Verbesserungsvorschlag an den Autor der Software zu schicken? Forum, Bugzilla, Mail? Gibt es da "Erfahrungswerte"?

er liest hier mit, dh du brauchst garnichts machen

Siehe der von infoman verlinkte Thread http://www.onlinebanking-forum…real123757
Es waere sicher besser, die Diskussion dort fortzusetzen. Denn es handelt sich genau um dieses Thema.



Ja, das koennte man in der Tat mal verbessern. Ist mir auch schon aufgefallen. Wenn man ein Plugin-Repository explizit oeffnet, ist das schluessig. Da es aber automatische Online-Updates in Jameica gibt, die per Default aktiviert sind, kann diese Meldung spontan und ohne vorherige Benutzer-Interaktion auftreten. Das gefaellt mir noch weniger. ich mag es eigentlich gar nicht, wenn spontan ein modaler Dialog aufspringt, in dessen Focus man u.U. Text tippert, falls man genau in dem Moment gerade etwas schreibt und auf die Tastatur schaut.
Ich habe hier aber auch noch keine wirklich schoene Loesung gefunden.

Allerdings ist die Problematik in der just veroeffentlichten Jameica-Version 2.6.15 zumindest erstmal in dem Sinne entschaerft, dass das betreffende Aussteller-Zertifikat von mir automatisch vorinstalliert ist (ist hart im signierten Java-Code enthalten) und die Vertrauensstellung des Plugin-Zertifikats automatisch sichergestellt werden kann.



Siehe der andere Thread. Das Thema Vertrauenskette bei Plugin-Repositories von Dritt-Autoren ist gerade erst vor ein paar Tagen in Jameica gelandet. Kommt also quasi gerade erst aus dem Ofen. Da kann es durchaus sein, dass an der einen oder anderen Stelle noch eine Ecke ist, die noch glatt gemacht werden muss.
Unter https://www.willuhn.de/blog/in…2.6.1.html findest du das CA-Zertifikat zum Download.



Die Form-Vorgaben an den Common-Name sind hier eigentlich nicht so wichtig, da es sich nicht um ein Browser-Zertifikat handelt, mit dem eine URL abgesichert wird sondern ein Code-Signing-Zertifikat, mit dem die Plugins dieses Repositories signiert sind. Sprich: Bei diesem Zertifikat kommt es nur auf die Vertrauensstellung und zeitliche Gueltigkeit an. Der CN kann bei der Pruefung ohnehin gegen nichts verglichen werden, da das Zertifikat wie gesagt keinen Hostnamen sichert sondern die Integritaet einer ZIP-Datei.

Ich habe gerade beim Starten von Jameica 2.7.0-nightly auch einen Dialog erhalten:

"Das Zertifikat des Repositories wurde geändert!
Möchten Sie den Vorgang dennoch fortsetzen und das neue Zertifikat importieren?"

Danach die Sicherheitsabfrage mit Bitte um Überprüfung:



Leider finde ich auch hierfür keinen Fingerprint im Forum zum gegenchecken und traue mich von daher nicht zu bestätigen.

Schau mal bitte im Blog unter

http://www.willuhn.de/blog/ind…2.6.1.html

und

http://www.willuhn.de/blog/ind…2.6.2.html

Dort habe ich genau diese Thematik - wie in meinem vorherigen Posting direkt ueber deinem auch schonmal verlinkt - erlaeutert.

Aktualisiere deine Jameica-Version, dann wird dieser Hinweis nicht angezeigt, da Jameica dann bereits die noetigen Wurzel-Zertifikate enthaelt. Oder importiere die im erstgenannten Blog-Beitrag verlinkten Zertifikate in Jameica unter Datei->Einstellungen. Ich empfehle dir aber das Jameica-Update.
Auch wenn du ein Nightly-Build verwnedest, heisst das ja nicht, dass das auf alle Ewigkeit aktuell bleibt.