Frage zur Prüfsumme des Zertifikats

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 186
Dabei seit: 07 / 2003
Betreff:

Frage zur Prüfsumme des Zertifikats

 · 
Gepostet: 19.10.2006 - 00:40 Uhr  ·  #1
Hallo!

Vor einiger Zeit hatte ich schon mal angefragt, als ich von Hibiscus aufgefordert wurde, die MD5 Summer zu überprüfen. Dazu hatte ich keine Möglichkeit gefunden und die Warnung einfach übergangen und gleichzeitig bei der Bank angefragt. Mittlerweile hat es die Bank bzw. Fiducia fertiggebracht, die Prüfsumme mitzuteilen - per JPG <sic>. Nun würde mich interessieren, wo ich die Summe in Hibiscus finde. In den Logs hatte ich keinen Erfolg.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 50
Dabei seit: 11 / 2006
Betreff:

Re: Frage zur Prüfsumme des Zertifikats

 · 
Gepostet: 12.11.2006 - 11:05 Uhr  ·  #2
Hallo,

unter "Datei", "Einstellungen". Doppelklick auf das Zertifikat zeigt die Eigenschaften u. A. mit dem Fingerprint.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 186
Dabei seit: 07 / 2003
Betreff:

Re: Frage zur Prüfsumme des Zertifikats

 · 
Gepostet: 14.11.2006 - 17:23 Uhr  ·  #3
Zitat geschrieben von DonUwe
Hallo,

unter "Datei", "Einstellungen". Doppelklick auf das Zertifikat zeigt die Eigenschaften u. A. mit dem Fingerprint.

Danke, allerdings ist das Ergebnis verwirrend. Als Prüfsumme des bei mir installierten Zeritfikats wird angezeigt:
4f:4e:a40:f:12:e1:2a:a5:1f:f8:6d0:f:f5🇧🇫8d:34 (ausgestellt von VeriSign für Fiducia)
Sieht merkwürdig aus und entspricht auch nicht dem von der Bank übermittelten. Andererseits habe ich damit schon mehrfach Aufträge ausgeführt. Ist das nur eine andere Form der Darstellung?
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: Frage zur Prüfsumme des Zertifikats

 · 
Gepostet: 14.11.2006 - 18:17 Uhr  ·  #4
Was ist an der Anzeige verwirrend? Das ist der Fingerprint der Zertifikats. In welcher Form erwartest du es denn?

Gruss
Olaf
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 50
Dabei seit: 11 / 2006
Betreff:

Re: Frage zur Prüfsumme des Zertifikats

 · 
Gepostet: 14.11.2006 - 22:03 Uhr  ·  #5
Der Frage kann ich mich nur anschließen.

Die Doppelpunkte sind zur besseren Lesbarkeit. Es gibt häufig das Problem, dass Jameica nur den MD5-Fingerprint zur Verfügung stellt, die Banken aber mit einem SHA1-Fingerprint kommen. Oft haben sie mir auch schon den Fingerprint des Zertifikats des Web-Servers genannt, auf dem die OnlineBankingSoftware (Browser Zertifikat) zu erreichen ist. Häufig sind die CallCenter-Mitarbeiter auch einfach unwissend. Es kommt wohl selten vor, dass jemand das HBCI-Zertifikat einer Bank verifizieren will. Es hat noch zuwenig Täuschungsversuche in diesem Umfeld gegeben. :roll:

Ich hoffe, meine Kommentare nützen Dir etwas.

Gruss, Uwe
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: Frage zur Prüfsumme des Zertifikats

 · 
Gepostet: 15.11.2006 - 00:49 Uhr  ·  #6
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: Frage zur Prüfsumme des Zertifikats

 · 
Gepostet: 15.11.2006 - 01:31 Uhr  ·  #7
Habs inzwischen gefixt. Ist ab morgen im Nightly-Build.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Frage zur Prüfsumme des Zertifikats

 · 
Gepostet: 15.11.2006 - 09:45 Uhr  ·  #8
Zitat geschrieben von DonUwe
Häufig sind die CallCenter-Mitarbeiter auch einfach unwissend. Es kommt wohl selten vor, dass jemand das HBCI-Zertifikat einer Bank verifizieren will.


In der Regel werden die Softwarehersteller auch von den Banken/Rechenzentren über Zertifaktswechsel informiert. Die Software kann und soll das Zertifikat schliesslich eigenständig prüfen und die Verbindung notfalls abbrechen.
Die manuelle Kontrolle des Fingerprints oder sonstiger Zertifikatsangeben ist nur auf der Web-Banking Schiene notwendig.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 50
Dabei seit: 11 / 2006
Betreff:

Re: Frage zur Prüfsumme des Zertifikats

 · 
Gepostet: 15.11.2006 - 19:43 Uhr  ·  #9
"Die Software kann und soll das Zertifikat schliesslich eigenständig prüfen und die Verbindung notfalls abbrechen."

Wie kann ich denn mit der Überprüfung durch die Online Banking Software sicher sein, dass das Zertifikat echt ist? Ich kann mir das nicht vorstellen.

Gibt es Dokumente, die dieses sichere Verfahren beschreiben? Kannst Du mir mal einen entsprechenden Link zukommen lassen?

Danke im Voraus. :o
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: Frage zur Prüfsumme des Zertifikats

 · 
Gepostet: 16.11.2006 - 10:12 Uhr  ·  #10
Die Software kann durch zwei Moeglichkeiten selbst pruefen, ob das Zertifikat ok ist:

1) Das Server-Zertifikat wurde von einer vertrauenswuerdigen CA signiert und ist damit ebenfalls vertrauenswuerdig. Java bringt im System-Keystore die Zertifikate der bekannten CAs wie Verisign, Thawte & Co. mit. Sie befinden sich in $JAVA_HOME/jre/lib/security/cacerts. Jameica prueft zuerst gegen diesen Keystore. Diese CA-Zertifikate bringen (mehr oder weniger) auch Windows selbst, Firefox und andere Programme mit, die mit Zertifikaten arbeiten.

2) Das Zertifikat ist in der Liste der vom Benutzer in Jameica importierten Zertifikate enthalten. Damit hat der Benutzer selbst dem Zertifikat die Vertrauensstellung ausgesprochen.

Jeder seriöse Anbieter sollte seine Zertifikate eigentlich durch eine bekannte CA signieren lassen. Mit dem Effekt, dass der Benutzer diese manuelle Pruefung nicht nochmal selbst durchfuehren muss. Die CA hat es fuer ihn getan. Man nennt das "Vertrauenskette". Ist das nicht der Fall, kommt Fall 2) zur Geltung. Hier muss der Benutzer in der Tat beim ersten Verbindungsversuch den Fingerprint des Zertifikates mit dem von der Bank mitgeteilten vergleichen und das Zertifikat erst dann importieren. Ist dies geschehen, sieht Jameica der Zertifikat als vertrauenswuerdig an und akzeptiert Verbindungen von dem Server.

Gruss
Olaf
Gewählte Zitate für Mehrfachzitierung:   0