Falscher Hash / Fingerabdruck , falsche Zertifikat comdirect

[Controller]

Hallo,

ich habe meine Datenbank aus AlfBanco 3 Spezial in 4 easy importiert. Läuft auch alles soweit. Allerdings bekomme ich bei der comdirect nicht das Zertifikat bzw. den Haswert angezeigt, der auf der Website ist.

http://www.comdirect.de/cms/ssl-zertifi ... rheit.html

F2:A1:63:21:1D:6D:22:77:3C:D7:BE:1D:A8:5E:6A:DF:69:9A:25:FF

In AlfBanco steht - "Das Zertifikat ist gültig!"

Die comdirect schrieb mir auf Rückfrage: "Der Fingerabdruck des Zertifikats, welches von der comdirect veröffentlicht ist, ist derzeit gültig. Vermutlich haben Sie nur die Basisversion Ihres Banking-Programms installiert. Es fehlen vermutlich die noch notwendigen Updates."

Wie kann ich das Zertifikat in AlfBanco erneuern oder das Problem sonst beheben? Ein Update auf 4.2.2 habe ich gerade vorher durchgeführt.

Gruß Controller

[ALF]

Hallo,

dies hat mit Updates von ALF-BanCo nichts zu tun.

Wenn der Hashwert nicht übereinstimmt, dann hat die Comdirect vermutlich kürzlich das Zertifikat erneuert und den Hashwert noch nicht aktualisiert.
Bitte fragen Sie bei der Comdirect ggf. nochmal konkret nach dem Hashwert für den HBCI-Server.

MfG
ALF

[Controller]

Also die comdirect bleibt dabei und schreibt folgendes:

*************

hbci.comdirect.de
SHA1:
F2:A1:63:21:1D:6D:22:77:3C:D7:BE:1D:A8:5E:6A:DF:69:9A:25:FF

Unser HBCI-Sicherheitszertifikat wurde am 08.08.11 aktualisiert.

Um die aktuellen Zertifikate zu erhalten, ist ein Update Ihrer HBCI-Software erforderlich.
Bitte führen Sie dies gegebenenfalls manuell durch.

Danach starten Sie das Programm bitte neu, um die Updates zu aktivieren.
**************
mein Zertifikat ist gültig von 25.07.2011 bis 25.08.2012 und fängt mit
36 64 EB ... an

Ist da jetzt etwas ein man in the middle oder so?

[ALF]

Hallo,

mein Zertifikat ist gültig von 25.07.2011 bis 25.08.2012 und fängt mit
36 64 EB ... an

wir erhalten bei der Comdirect das gleiche Zertifikat.
Dieses Zertifikat sollte also korrekt sein.

MfG
ALF

[ALF]

was ALF-BanCo anzeigt ist korrekt. Sie können dies selbst prüfen wenn Sie OpenSSL installiert haben.

folgendes Kommando holt das Zertifikat und schreibt es in eine Datei:

Code: Alles auswählen

openssl s_client -connect hbci.comdirect.de:443 | sed -ne '/BEGIN CERT/,/END CERT/p' > comdirect.crt

das Zertifikat ist folgendes:

Code: Alles auswählen

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

mit folgendem Kommando wird dann der Fingerprint angezeigt:

Code: Alles auswählen

openssl x509 -noout -fingerprint -in comdirect.crt
SHA1 Fingerprint=36:64:EB:B8:D8:0C:83:2F:18:D8:5F:DB:22:3A:98:33:C0:E5:05:0A

[Controller]

Ich habe mit der DKB gesprochen und mir wurde gesagt, dass der Anbieter der Software das Zertifikat nimmt und umschreibt so dass es mit der Software funktioniert, so dass das Zertifikat für jede Software anders wäre, somit der Softwareanbieter der Ansprechpartner für den Hashwert ist!?!? Jetzt bin ich völlig verwirrt, da ich unter einem Zertifikat etwas völlig anderes verstanden hatte. Ich dachte eher, dass es wie beim Public / Private Key verfahren wäre und das Zertifikat / der Schlüssel für alle gleich ist.

Muss ich diesen Hash Wert überhaupt überprüfen. Außer bei der comdirect habe ich bisher noch bei keiner Bank Informationen zum Hash Wert gefunden.

[HansUwe]

... mir wurde gesagt, dass der Anbieter der Software das Zertifikat nimmt und umschreibt so dass es mit der Software funktioniert, so dass das Zertifikat für jede Software anders wäre, somit der Softwareanbieter der Ansprechpartner für den Hashwert ist!?!?

na, dass nenn ich doch mal eine sachkundige und kompetente Aussage. Hoffentlich verstehen die mehr von Zertifikaten und Verbriefungen, sonst muß man sich ja ernsthaft überlegen, wem man da sein Geld anvertraut.