Hallo,

seit gestern (13.05.2006) kann mit FinPocket oder FinPhone auf die Deutsche Bank über das PIN/TAN Sicherungsverfahren grundsätzlich nicht mehr zugegriffen werden! Man erhält beim Verbindungsversuch sofort einen "SecureChannelFailure".

Offenbar hat die Deutsche Bank am 13.05.2006 irgendwelche SSL-Parameter an ihrem FinTS-Server geändert, so dass ein Verbindungsaufbau mit dem .NET Compact Framework in Windows Mobile generell nicht mehr möglich ist.

Die genaue Ursache konnte ich noch nicht analysieren, nur so viel: Es ist unabhängig vom Programm (FinPocket oder FinPhone) oder Gerät (WM 2003, WM 5, etc...). Es scheint, dass die neuen SSL-Einstellungen der Deutschen Bank etwas anfordern, das vom .NET Compact Framework unter Windows Mobile nicht unterstützt wird. Der Subsembly FinTS Admin, welcher hinsichtlich der FinTS Kommunikation auf genau der gleichen Codebasis aufsetzt, funktioniert auf einem Windows XP PC mit dem .NET Framework 1.1 weiterhin problemlos.

Ich kann nur hoffen, dass ich am Montag das Problem mit der Deutschen Bank klären kann.

Hi subsembly,

die DB hat per 13.5. unter der DNS (https://fints.deutsche-bank.de) eine neue IP- adresse druntergeschoben: 129.35.230.77 . Könnte das deine Ursache sein? Tiefergehende Infos hab ich zur Umstellung leider nicht.

Tschau
Majo

Hallo,

die IP-Adresse ist nicht das Problem, der Rechner wird schon gefunden. Die Deutsche Bank hat am Samstag vor allem aber auch einen neuen "reverse Proxy" in Betrieb genommen und genau dieser verursacht das Problem. Leider endet das SSL-Handshake mit einem "bad_record_mac" Fehlercode vom Server, bevor es zur eigentlichen Nutzdatenübertragung kommen kann.

Dummerweise habe ich über den SSL-Verbindungsaufbau keinerlei Kontrolle. Das SSL-Handshake wird komplett innerhalb von Windows CE durchgeführt.

Ich bin noch dabei das ganze bis ins Detail zu analysieren...

Hallo,

hier noch ein paar Details zum Problem. Vielleicht gibt es ja einen SSL-Experten der einen Tipp dazu hat.

Der SSL-Handshake zwischen Pocket-PC/Smartphone Client und dem https://fints.deutsche-bank.de/ Server läuft im Detail wie folgt ab:

1. Pocket PC sendet ClientHello Handshake-Nachricht im SSL v2 kompatiblen Format. Als Client Version ist 3.1 (TLS 1.0) eingestellt. In den unterstützten Ciphers ist unter anderem RSA_WITH_RC4_128_MD5 enthalten.

2. Server sendet ServerHello Handshake-Nachricht im SSL v3 Format mit Version gleich 3.0 (SSL 3.0). Server wählt im ServerHello RSA_WITH_RC4_128_MD5 als Cipher aus.

3. Server sendet Certificate Handshake-Nachricht.

4. Server sendet ServerHelloDone Handshake-Nachricht.

5. Client sendet ClientKeyExchange Handshake-Nachricht, nun ebenfalls im SSL v3 Format mit Version gleich 3.0 (SSL 3.0).

6. Client sendet ChangeCipherSpec-Nachricht.

7. Client sendet verschlüsselte Finish Handshake-Nachricht ( SSL v3 Format mit Version gleich 3.0 )

8. Server sendet Alert-Nachricht mit fataler Fehlermeldung bad_record_mac

9. Beide Seiten trennen die Verbindung

Und das wars. Ende. Soweit so schlecht...

Hallo zusammen,
ich habe ebenfalls gerade die erste support mail eines OutBank-Users reinbekommen.
Deutsche Bank - Fehler: KErrSSLAlertBadRecordMac -7520 A record was received with an incorrect MAC
Gruss
Tobias

Hallo,

für alle Betroffenen FinPocket und FinPhone User: Der alte Proxy der Deutschen Bank ist weiterhin am Netz und kann durch explizite IP-Adressierung genutzt werden. Das heißt: Im Bankkontakt die vorgegebene Internetadresse von

https://fints.deutsche-bank.de

in

https://160.83.4.77

ändern, und schon funktioniert es wieder. Zumindest so lange, bis die Deutsche Bank den alten Proxy abschaltet.

...dies gilt auch für betroffene OutBank-User.
HBCI-Zugang editieren und obige Internetadresse ändern.
Gruss
Tobias
www.OutBank.de

Hallöle,

danke für die Informationen. Hatte schon an mir und meinem Netzwerk gezweifelt...
originalton der DB24 hotline: "Wir haben keine Probleme, hier wurde auch nichts geändert - da müssen Sie wohl einen Fehler gemacht haben ..."

Grummel :shock:

Hallo,

die Deutsche Bank hat soeben die SSL-Konfiguration des Proxys geändert, so dass jetzt alles wieder wie gehabt funktioniert.

Ein großes Dankeschön an die Mitarbeiter der Deutschen Bank!!!