xDSL.at

[jutta]

lustige erlebnisse im web. ich google nach informationen ueber elektronische rechnungsuebermittlung und signaturen.
unter http://www.a-sit.at/de/dokumente_publik ... /index.php findet sich ein link zu informationen ueber die "pdf-text-signatur" https://demo.egiz.gv.at/plain/projekte/ ... f_signatur - und wenn ich da draufklicke, kommt die bekannte firefox-warnung "Dieser Verbindung wird nicht vertraut"

demo.egiz.gv.at verwendet ein ungültiges Sicherheitszertifikat.

Dem Zertifikat wird nicht vertraut, weil dem Aussteller-Zertifikat nicht vertraut wird.

(Fehlercode: sec_error_untrusted_issuer)

und die ueblichen warnhinweise, dass serioese seitenbetreiber sowas nie tun werden
finde ich bei einer website, bei der es um e-government geht, recht witzig.


tipps zu informationsquellen werden dankbar angenommen. (es geht darum, dass ein wichtiger kunde von uns alle korrespondenz nur mehr per e-mail haben will, auch rechnungen und ich jetzt die voraussetzungen und kosten recherchieren muss.)

[lordpeng]

hallo jutta, kanns sein, dass dir hier die root zertifikate fehlen?
hier funktionierts ganz normal ohne cert-warning ...

aber da es sich um ein von a-trust ausgestelltes zertifikat handelt wundert mich das eh ned ... denen würd ich auch ned vertrauen ...

[jutta]

wenn ich im firefox bei den einstellungen auf "Zertifikate anzeigen" gehe, krieg ich eine ziemlich lange liste. keine ahnung, wie vollstaendig die ist - wahrscheinlich einfach firefox-default. (ich hab hier nichts installiert)

[lordpeng]

ich hab momentan keinen firefox in reichweite um einen gegencheck zu machen, aber im ie8 wird wie schon erwähnt keine warnung angezeigt

[al]

und die ueblichen warnhinweise, dass serioese seitenbetreiber sowas nie tun werden
finde ich bei einer website, bei der es um e-government geht, recht witzig.

Naja, das ist die übliche Problematik, ins "Standardset der zu vertrauenden Root-CAs" des jeweiligen Browsers aufgenommen zu werden...

Ist in etwa so dämlich wie die Vorgabe, dass ich die Signatur elektronisch ausgestellter Rechnungen kontrollieren müßte... aber mir bis jetzt noch niemand erklären konnte, wie das ohne Adobe Software (und der PDF Reader kommt mir nicht auf die Platte) gehen soll... und selbst wenn Du den PDF Reader installiert hast, ist dort das A-Sit Root-Cert nicht installiert...

Nächstes Beispiel: Electronic Banking mit der "Bürgerkarte"... da gibt's Banken, die wechseln so ca. im Halbjahresrythmus den Root-CA-Aussteller... mit dem Effekt, dass ihre eigene Software über das neue Zertifikat stolpert... was einen Hotlineanruf und ein "wir fügen ein neues Root-Cert irgendwo hinzu" auslöst...

Aber dass dieses wahllose Hinzufügen neuer Root-Certs (keiner kontrolliert dabei irgendwas) das ganze Vertrauensgerüst in sich zusammenfallen lässt, ignoriert jeder...

/al (sorry, aber es musste mal sein)

[martin]

hab die seite soeben mit IE, firefox und chrome aufgerufen, nirgendwo ein zertifikatsfehler.

zertifikat stammt von a-trust, bzw. "a-sign-SSL-03".

[jutta]

der webserverzustaendige hat prompt geantwortet: ab v. 6.0.2 vertraut FF dem zertifikatsaussteller A-Trust. bei aelteren versionen muss man die stammzertifikate von http://www.a-trust.at/info.aspx?node=659&lang=GE&ch=2 manuell importieren.


@al: genau das finde ich bei den ganzen zertifikatsgschichteln auch problematisch: da man kaum die moeglichkeit hat, die zertifikate mit ertraeglichem aufwand zu kontrollieren (vor allem, wenn die websites und deren betreiber irgendwo im ausland sind und man auch sprachbarrieren ueberwinden muesste), gewoehnt man sich an, alle zertifikate zu akzeptieren. [1]

ob die warnung kommt, weil bestimmte aussteller aus politischen (oder finanziellen) gruenden nicht in die default-liste aufgenommen werden oder weil das cert vorige woche abgelaufen ist und der admin das verschlafen hat oder ob es ein echtes sicherheitsrisiko gibt, kann man als end-user kaum unterscheiden.

[1] und damit meine ich jetzt nicht bloss privat fuer test/heim/server ausgestellte zertifikate - denn grad in diesem fall weiss ich meistens, wer sie ausgestellt hat und ob ich dem/der vertraue.

<ot> in wievielen monaten ist ff von 3.6.13 auf 6.0.2 gesprungen? so lang gibts den pc hier ja noch gar nicht, dass ich hier eine "uralte" version haben koennte. ... </ot>

[jutta]

Ist in etwa so dämlich wie die Vorgabe, dass ich die Signatur elektronisch ausgestellter Rechnungen kontrollieren müßte... aber mir bis jetzt noch niemand erklären konnte, wie das ohne Adobe Software (und der PDF Reader kommt mir nicht auf die Platte) gehen soll... und selbst wenn Du den PDF Reader installiert hast, ist dort das A-Sit Root-Cert nicht installiert...

da ich hier den adobe reader vor einigen monaten mit zaehneknirschen installiert habe, weils dokumente vom US-patentamt gibt, die mit keinem anderen windows-pdf-reader anzeigbar sind, hab ich eben nachgeschaut. der acrobat-reader hat anscheinend gar keine eigene cert-liste, sondern verwendet die von windows. was ja einerseits sinnvoll ist, da eine einzige liste eher wartbar ist. andererseits ist der certmgr doch recht gut versteckt und fuer 08/15 user ein bissl geheimnisvoll ueber die eingabeaufforderung erreichbar. ich hab das vor ein paar wochen gegoogelt, weil ich mir eingebildet hab, mein webdav-verzeichnis ueber eine verschluesselte verbindung erreichen zu wollen und damit unter win 7 einige probleme hatte. [1]
http://answers.microsoft.com/de-de/wind ... 4a1d07a1c7 was die ganzen optionen und einstellungen im certmgr bedeuten, erfordert mehr google-zeit, als ich vor der pensionierung habe.

A-Trust ist in der windows-liste enthalten, A-Sit nicht.

[1] http://www.netzwerklabor.at/mediawiki/index.php/WebDAV </ot>

[al]

Das krankt im System. Der österr. Gesetzgeber kann normieren, was ich als Bürger tun muss. Aber er kann nicht normieren, was Adobe oder Browserhersteller irgendwo auf der Welt tut. Und er kann schon erst gar nicht normieren, dass ich dem, was mir Browser xy da als Root-Zertifikate liefert, vertraue. Es gibt aber keine Möglichkeit, irgendein Root-Zertifikat sauber überprüfen zu können.

Und dann das ganze noch modulo plattformunabhängig und modulo herstellerunabhängig und modulo Usability und modulo Benutzerkönnen.

Und zu den PDFs noch: Besonders mühsam wird es, wenn - insbesondere auch öffentliche Stellen wie das Finanzamt - auf PDF-Formulare setzen... die gehen mW nur mit der Adobe Software und dann kann man die Daten noch nicht mal abspeichern und würg und kotz. Jeden, der sowas einführt, müßte man zur Strafe vor einen Rechner setzen und 100 seiner Formulare ausfüllen lassen. Mit allen Schwierigkeiten, die so im Computeralltag passieren...

/al

[lordpeng]

>Und zu den PDFs noch: Besonders mühsam wird es, wenn - insbesondere auch
>öffentliche Stellen wie das Finanzamt - auf PDF-Formulare setzen...
weil ich zumindest 'indirekt' so einiges damit zu tun hab: was wär in deinen augen denn sinnvoller?

so ziemlich jede 08/15 standard-software unterstützt bsp. beim UVA formular den export als XML welcher dann direkt bei finanzonline hochgeladen werden kann bzw. alternativ kann damit auch das elektronische UVA formular befüllt werden

[jutta]

zu /als rant: hier wird sogar erklaert, wie man andere pdf-reader deaktiviert, damit man der allheilige alleinzige adobe pdf reader verwendet werden kann https://financial.ucsc.edu/Pages/Financ ... HowTo.aspx
bei mehr oder weniger oeffentlichrechtlichen institutionen finde ich das schon ein bisschen bedenklich (auch in den usa)

ein positives gegenbeispiel ist die uni wien zb http://othes.univie.ac.at/13906/ da wird der adobe reader nur als eine von mehreren moeglichkeiten genannt. da gibts uebrigens ein paar hinweise fuer die konvertierung in pdf, die nicht nur fuer diplom- und doktorarbeiten gelten http://othes.univie.ac.at/pdf.html

[jutta]

just for the record @pdf-formulare:

da gibts diese oben erwaehnten formulare, die nur mit einem ganz neuen acrobat-reader und sonst keinem funktionieren. bisher bekam ich auch unter der linux-version des acrobat-reader immer eine fehlermeldung. nach der habe ich nun etwas intensiver gegoogelt und diesen hinweis gefunden: http://forums.linuxmint.com/viewtopic.php?f=47&t=70040
mit dem "acroread-escript" funktioniert das oeffnen nun tatsaechlich.

die installation war unter debian (hier squeeze, 32 bit) ein wenig muehsam, weil das acroread-escript die version 9.4.7 voraussetzt, aber eine 9.4.2 installiert war. die musste ich zunaechst manuell deinstallieren, dann hat es funktioniert.
noch ein hinweis: auf der adobe-seite kriegt man derzeit nur die aeltere version (9.4.2) angeboten - auch wenn man dem hinweis-link in dokument folgt.
voellig easy, wenn man es einmal hat, aber bis dahin liest man kiloweise fehlermeldungen und hinweise auf die man-pages von apt und dpkg, die nicht wirklich weiterhelfen.

bei dem verlinkten beitrag im linuxmint-forum steht auch ein bisschen zu den technischen hintergruenden dieses plugins und der javascript-technologie, die dahintersteht.

und zum speichen: die einfachste loesung ist, das ausgefuellte formular als pdf "auszudrucken". mit dem smart draw pdf-filter hat das tadellos funktioniert, mit dem pdf-creator bekam ich eine fehlermeldung, von der ich noch nicht genau weiss, was die ursache ist. (bearbeitbar ist es danach allerdings nicht mehr.)

[jutta]

>Und zu den PDFs noch: Besonders mühsam wird es, wenn - insbesondere auch
>öffentliche Stellen wie das Finanzamt - auf PDF-Formulare setzen...
weil ich zumindest 'indirekt' so einiges damit zu tun hab: was wär in deinen augen denn sinnvoller?

frueher gab es die meisten ausfuellbaren behoerden-formulare als .rtf. die haben plattformuebergreifend mit software funktioniert, die auf jedem buero-rechner und wohl auch auf den meisten heimrechnern sowieso installiert ist. (und haben nebenbei den vorteil, dass man zum erstellen keine sauteuren acrobat-vollversionen benoetigt.) wenn man sie nach dem ausfuellen vor veraenderungen schuetzen will, kann man sie noch immer pdf-isieren.

da faellt mir noch ein halblustiges detail zu den oben erwaehnten formularen des us-patentamtes ein. die gehen bei uns fertig ausgefuellt (da bereits beim amt eingereicht), aber noch immer editierbar (!) ein. ob das an der dummheit einer schreibkraft beim us-kollegen liegt oder ein "feature" ist, weiss ich nicht. jedenfalls ist es lustig, denn ich kann die bereits eingereichten formulare (die ja dokumentcharakter haben sollen) unabsichtlich oder absichtlich jederzeit veraendern/verfaelschen, bevor ich sie zum akt speichere oder dem klienten zustelle.

vielleicht sollte ich den thread schoen langsam nach off-topic verschieben

[8191]

Zum Prüfen von signierten PDFs, die mittels Bürgerkarte (oder einer anderen, dem Signaturgestz entsprechenden, Methode) signiert wurde, braucht man keinen Adobe Reader: http://www.signatur.rtr.at/de/index.html
Weitere Infos und (offline) Möglichkeiten gibt's da: http://www.buergerkarte.at/

Aber dass dieses wahllose Hinzufügen neuer Root-Certs (keiner kontrolliert dabei irgendwas) das ganze Vertrauensgerüst in sich zusammenfallen lässt, ignoriert jeder...

Hast du dir schon mal die Prozedur bei beispielsweise Mozilla angesehen? Das ist garnicht so einfach, dass man da als Zertifizierungsstelle aufgenommen wird. Nicht ohne Grund ist die A-Trust erst seit v6 im FF. Das Verfahren dauert mitunter über ein Jahr, wenn man nicht ständig als Firma dahinter ist.
Hier ist beschrieben wie die Verifizierung verläuft: https://wiki.mozilla.org/CA:How_to_apply


Ich finde auch, dass das ganze PKI-System von hinten bis vorne "korrupt" bzw kaput ist. Im Endeffekt muss ich meinem Browser- bzw OS-Hersteller voll und ganz vertrauen, wenn ich sicher kommunizieren will. Auch hat, wie schon gesagt, der Endanwender meist keine Möglichkeit bzw nicht das notwendige technische Wissen, zu entscheiden ob eine Zertifikatswarnung relevant ist oder nicht.
Es gibt ja schon Ansätze wie man das System verbessern kann (teil von DNS, zB), aber die Thematik, dass ein Endanwender nicht wissen kann, dass man die Warnung nicht einfach wegklickt ist nachwie vor ein Problem, das man nicht so leicht lösen kann. Am Besten wäre es, wenn der Browser keine Warnung anzeigt, sondern einen Fehler und das Aufrufen der Webseite verweigert, aber das hätte whs. nur genervte User als Resultat, da sie dann einfach zu einem anderen Browser greifen der die Seite anzeigt.

Bestes Beispiel für das kaputte System ist Diginotar.
http://www.heise.de/security/meldung/De ... 23893.html

lg,
Manuel

[jutta]

> Am Besten wäre es, wenn der Browser keine Warnung anzeigt, sondern einen Fehler und das Aufrufen der Webseite verweigert, aber das hätte whs. nur genervte User als Resultat, da sie dann einfach zu einem anderen Browser greifen der die Seite anzeigt.

das habe ich eh schon erlebt (weiss allerdings nicht mehr, bei welcher browser-version; aehnlich auch bei webdav unter win 7). es fuehrt aber imo nur dazu, dass technisch unbedarftere user (also die grosse mehrheit) verschluesselte verbindungen umstaendlich, unpraktisch und einfach **** finden und lieber unverschluesselte verwenden.