hbci.izb-hb.de, Sicherheitswarnung, VeriSign-Zertifikat

tobias.stoeger

Betreff:

hbci.izb-hb.de, Sicherheitswarnung, VeriSign-Zertifikat

· Gepostet: 08.12.2005 - 16:18 Uhr · #21587

Hallo,
seit heute tritt mit dem SSL-Zertifikat des HBCI-Servers "hbci.izb-hb.de" (IZB Soft, bayer. Sparkassen) ein Problem auf.
Auf folgenden Geräten wird eine Sicherheitswarnung angezeigt:
- Nokia Comunicator 9500,9300
- Sony Ericsson (P800,P900,P910)

Herausgegeben von: VeriSign Trust Network
Gültig ab: 26. Januar 2005
Gültig bis: 26. Januar 2006

Seriennummer:
07:E5:AE:97:71:AF:C4:38:91:E1:F5:45:DC:62:2B:7D

Fingerabdruck:
86:EA:A2:04:72:85:2B:37:67:EA:47:95:FF:B4:7A:50

Warum, wird derzeit noch geklärt.
Evtl. ein Betriebssystem-Bug, da nur Geräte mit Symbian OS v7.0(UiQ) und v7.0s(S80) betroffen sind.
Gruss
Tobias Stöger
www.OutBank.de

tobias.stoeger

Betreff:

Re: hbci.izb-hb.de, Sicherheitswarnung, VeriSign-Zertifikat

· Gepostet: 08.12.2005 - 17:24 Uhr · #21589

...funktioniert wieder, warum auch immer :noidea:

tobias.stoeger

Betreff:

Re: hbci.izb-hb.de, Sicherheitswarnung, VeriSign-Zertifikat

· Gepostet: 14.12.2005 - 11:47 Uhr · #21763

Gerade mit der IZB Soft telefoniert. Das Problem ist dort bereits bekannt. Es würde nur bei "Fremdprodukten" auftreten, wie z.B. auch WinData.
Stimmt, bei Starmoney konnte ich es bis jetzt auch noch nicht verifizieren (Sicherheitslücke :noidea:)
Auch Mozilla meckert das Zertifikat sporadisch an.

Captain FRAG

Betreff:

Re: hbci.izb-hb.de, Sicherheitswarnung, VeriSign-Zertifikat

· Gepostet: 14.12.2005 - 11:55 Uhr · #21764

Starmoney setzt nicht auf den Zertifikaten des Betriebssystems auf, sondern verwaltet sie eigenständig über den Starfinanz Kernel.
Ist bei den PPI basierten Produkten wie Sfirm32 oder Proficash übrigens auch so.

Das könnte der Unterschied sein.

tobias.stoeger

Betreff:

Re: hbci.izb-hb.de, Sicherheitswarnung, VeriSign-Zertifikat

· Gepostet: 14.12.2005 - 11:59 Uhr · #21765

Das Problem könnte sein, dass diese Produkte den Common-Name des Zertifikates nicht noch einmal gegen den DNS Dienst verifizieren. Aber das ist nur eine Vermutung, da das Zertifikat ansonsten 'valid' aussieht.
Kuckst Du hier: http://www.outbank.de/uploads/hbci.izb-hb.de.jpg

tobias.stoeger

Betreff:

Re: hbci.izb-hb.de, Sicherheitswarnung, VeriSign-Zertifikat

· Gepostet: 14.12.2005 - 13:09 Uhr · #21767

Auch sehr interessant - der IE verifiziert hbci.izb-hb.de sporadisch gegen ein abgelaufenes verisign root cert.
Kuckst Du hier: http://www.outbank.de/uploads/ie_hbci.izb-hb.de.jpg
Ich bin ja auch kein Kryptoexperte aber irgendwas ist hier faul :noidea:

Captain FRAG

Betreff:

Re: hbci.izb-hb.de, Sicherheitswarnung, VeriSign-Zertifikat

· Gepostet: 14.12.2005 - 13:24 Uhr · #21768

Mein vorangegangenes Posting habe ich wegen Irrtum gelöscht, aber was denkst du davon?

VeriSign Knowledge Base

Mir fehlt dabei ein wenig Hintergrundwissen, aber das Verfalldatum passt wie nen Squash-Ball aufs Auge :tard:

andere Idee:
In Bayern ticken die Uhren anders, würde mich nicht wundern

tobias.stoeger

Betreff:

Re: hbci.izb-hb.de, Sicherheitswarnung, VeriSign-Zertifikat

· Gepostet: 14.12.2005 - 13:34 Uhr · #21770

Das könnte natürlich schon sein, dass serverseitig dadurch der SSL-Handshake falsch aufgebaut wird, aber warum dann nur sporadisch?
Ich hab den Link auf jedenfall mal an die IZB Soft weitergeleitet, da die angeblich noch im Dunkeln tasten.

tobias.stoeger

Betreff:

Re: hbci.izb-hb.de, Sicherheitswarnung, VeriSign-Zertifikat

· Gepostet: 16.12.2005 - 11:03 Uhr · #21837

Problem ist laut Auskunft IZB Soft gelöst. Lag angeblich am o.g. "Intermediate Certificate", weitere Infos warum der Fehler nur sporadisch aufgetreten ist, sind Firmeninternas.
Ich denke nur Fakt ist, dass alle Programme die den Fehler im SSL-Handshake nicht bemerkt bzw. ignoriert haben nachgebessert werden sollten.