Dieser Verbindung wird nicht vertraut

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

Dieser Verbindung wird nicht vertraut

Beitragvon jutta » Mi 01 Feb, 2012 10:13

lustige erlebnisse im web. ich google nach informationen ueber elektronische rechnungsuebermittlung und signaturen.
unter http://www.a-sit.at/de/dokumente_publik ... /index.php findet sich ein link zu informationen ueber die "pdf-text-signatur" https://demo.egiz.gv.at/plain/projekte/ ... f_signatur - und wenn ich da draufklicke, kommt die bekannte firefox-warnung "Dieser Verbindung wird nicht vertraut"

demo.egiz.gv.at verwendet ein ungĂĽltiges Sicherheitszertifikat.

Dem Zertifikat wird nicht vertraut, weil dem Aussteller-Zertifikat nicht vertraut wird.

(Fehlercode: sec_error_untrusted_issuer)


und die ueblichen warnhinweise, dass serioese seitenbetreiber sowas nie tun werden ;)
finde ich bei einer website, bei der es um e-government geht, recht witzig.


tipps zu informationsquellen werden dankbar angenommen. (es geht darum, dass ein wichtiger kunde von uns alle korrespondenz nur mehr per e-mail haben will, auch rechnungen und ich jetzt die voraussetzungen und kosten recherchieren muss.)
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: Dieser Verbindung wird nicht vertraut

Beitragvon lordpeng » Mi 01 Feb, 2012 10:34

hallo jutta, kanns sein, dass dir hier die root zertifikate fehlen?
hier funktionierts ganz normal ohne cert-warning ...

aber da es sich um ein von a-trust ausgestelltes zertifikat handelt wundert mich das eh ned ... denen wĂĽrd ich auch ned vertrauen ...
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Re: Dieser Verbindung wird nicht vertraut

Beitragvon jutta » Mi 01 Feb, 2012 10:38

wenn ich im firefox bei den einstellungen auf "Zertifikate anzeigen" gehe, krieg ich eine ziemlich lange liste. keine ahnung, wie vollstaendig die ist - wahrscheinlich einfach firefox-default. (ich hab hier nichts installiert)
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: Dieser Verbindung wird nicht vertraut

Beitragvon lordpeng » Mi 01 Feb, 2012 10:40

ich hab momentan keinen firefox in reichweite um einen gegencheck zu machen, aber im ie8 wird wie schon erwähnt keine warnung angezeigt
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Re: Dieser Verbindung wird nicht vertraut

Beitragvon al » Mi 01 Feb, 2012 10:57

jutta hat geschrieben:und die ueblichen warnhinweise, dass serioese seitenbetreiber sowas nie tun werden ;)
finde ich bei einer website, bei der es um e-government geht, recht witzig.


Naja, das ist die ĂĽbliche Problematik, ins "Standardset der zu vertrauenden Root-CAs" des jeweiligen Browsers aufgenommen zu werden...

Ist in etwa so dämlich wie die Vorgabe, dass ich die Signatur elektronisch ausgestellter Rechnungen kontrollieren müßte... aber mir bis jetzt noch niemand erklären konnte, wie das ohne Adobe Software (und der PDF Reader kommt mir nicht auf die Platte) gehen soll... und selbst wenn Du den PDF Reader installiert hast, ist dort das A-Sit Root-Cert nicht installiert...

Nächstes Beispiel: Electronic Banking mit der "Bürgerkarte"... da gibt's Banken, die wechseln so ca. im Halbjahresrythmus den Root-CA-Aussteller... mit dem Effekt, dass ihre eigene Software über das neue Zertifikat stolpert... was einen Hotlineanruf und ein "wir fügen ein neues Root-Cert irgendwo hinzu" auslöst...

Aber dass dieses wahllose Hinzufügen neuer Root-Certs (keiner kontrolliert dabei irgendwas) das ganze Vertrauensgerüst in sich zusammenfallen lässt, ignoriert jeder...

/al (sorry, aber es musste mal sein)
Wer entbĂĽndelt wo? - http://entbuendelt.at
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Re: Dieser Verbindung wird nicht vertraut

Beitragvon martin » Mi 01 Feb, 2012 11:26

hab die seite soeben mit IE, firefox und chrome aufgerufen, nirgendwo ein zertifikatsfehler.

zertifikat stammt von a-trust, bzw. "a-sign-SSL-03".
martin
Moderator
Moderator
 
Beiträge: 1577
Registriert: Mo 23 Jun, 2003 16:56
Wohnort: KremsmĂĽnster

Re: Dieser Verbindung wird nicht vertraut

Beitragvon jutta » Mi 01 Feb, 2012 11:26

der webserverzustaendige hat prompt geantwortet: ab v. 6.0.2 vertraut FF dem zertifikatsaussteller A-Trust. bei aelteren versionen muss man die stammzertifikate von http://www.a-trust.at/info.aspx?node=659&lang=GE&ch=2 manuell importieren.


@al: genau das finde ich bei den ganzen zertifikatsgschichteln auch problematisch: da man kaum die moeglichkeit hat, die zertifikate mit ertraeglichem aufwand zu kontrollieren (vor allem, wenn die websites und deren betreiber irgendwo im ausland sind und man auch sprachbarrieren ueberwinden muesste), gewoehnt man sich an, alle zertifikate zu akzeptieren. [1]

ob die warnung kommt, weil bestimmte aussteller aus politischen (oder finanziellen) gruenden nicht in die default-liste aufgenommen werden oder weil das cert vorige woche abgelaufen ist und der admin das verschlafen hat oder ob es ein echtes sicherheitsrisiko gibt, kann man als end-user kaum unterscheiden.

[1] und damit meine ich jetzt nicht bloss privat fuer test/heim/server ausgestellte zertifikate - denn grad in diesem fall weiss ich meistens, wer sie ausgestellt hat und ob ich dem/der vertraue.

<ot> in wievielen monaten ist ff von 3.6.13 auf 6.0.2 gesprungen? so lang gibts den pc hier ja noch gar nicht, dass ich hier eine "uralte" version haben koennte. ... </ot>
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: Dieser Verbindung wird nicht vertraut

Beitragvon jutta » Mi 01 Feb, 2012 11:43

al hat geschrieben:Ist in etwa so dämlich wie die Vorgabe, dass ich die Signatur elektronisch ausgestellter Rechnungen kontrollieren müßte... aber mir bis jetzt noch niemand erklären konnte, wie das ohne Adobe Software (und der PDF Reader kommt mir nicht auf die Platte) gehen soll... und selbst wenn Du den PDF Reader installiert hast, ist dort das A-Sit Root-Cert nicht installiert...


da ich hier den adobe reader vor einigen monaten mit zaehneknirschen installiert habe, weils dokumente vom US-patentamt gibt, die mit keinem anderen windows-pdf-reader anzeigbar sind, hab ich eben nachgeschaut. der acrobat-reader hat anscheinend gar keine eigene cert-liste, sondern verwendet die von windows. was ja einerseits sinnvoll ist, da eine einzige liste eher wartbar ist. andererseits ist der certmgr doch recht gut versteckt und fuer 08/15 user ein bissl geheimnisvoll ueber die eingabeaufforderung erreichbar. ich hab das vor ein paar wochen gegoogelt, weil ich mir eingebildet hab, mein webdav-verzeichnis ueber eine verschluesselte verbindung erreichen zu wollen und damit unter win 7 einige probleme hatte. [1]
http://answers.microsoft.com/de-de/wind ... 4a1d07a1c7 was die ganzen optionen und einstellungen im certmgr bedeuten, erfordert mehr google-zeit, als ich vor der pensionierung habe.

A-Trust ist in der windows-liste enthalten, A-Sit nicht.

[1] http://www.netzwerklabor.at/mediawiki/index.php/WebDAV </ot>
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: Dieser Verbindung wird nicht vertraut

Beitragvon al » Mi 01 Feb, 2012 12:16

Das krankt im System. Der österr. Gesetzgeber kann normieren, was ich als Bürger tun muss. Aber er kann nicht normieren, was Adobe oder Browserhersteller irgendwo auf der Welt tut. Und er kann schon erst gar nicht normieren, dass ich dem, was mir Browser xy da als Root-Zertifikate liefert, vertraue. Es gibt aber keine Möglichkeit, irgendein Root-Zertifikat sauber überprüfen zu können.

Und dann das ganze noch modulo plattformunabhängig und modulo herstellerunabhängig und modulo Usability und modulo Benutzerkönnen.

Und zu den PDFs noch: Besonders mühsam wird es, wenn - insbesondere auch öffentliche Stellen wie das Finanzamt - auf PDF-Formulare setzen... die gehen mW nur mit der Adobe Software und dann kann man die Daten noch nicht mal abspeichern und würg und kotz. Jeden, der sowas einführt, müßte man zur Strafe vor einen Rechner setzen und 100 seiner Formulare ausfüllen lassen. Mit allen Schwierigkeiten, die so im Computeralltag passieren...

/al
Wer entbĂĽndelt wo? - http://entbuendelt.at
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Re: Dieser Verbindung wird nicht vertraut

Beitragvon lordpeng » Mi 01 Feb, 2012 12:23

>Und zu den PDFs noch: Besonders mĂĽhsam wird es, wenn - insbesondere auch
>öffentliche Stellen wie das Finanzamt - auf PDF-Formulare setzen...
weil ich zumindest 'indirekt' so einiges damit zu tun hab: was wär in deinen augen denn sinnvoller?

so ziemlich jede 08/15 standard-software unterstĂĽtzt bsp. beim UVA formular den export als XML welcher dann direkt bei finanzonline hochgeladen werden kann bzw. alternativ kann damit auch das elektronische UVA formular befĂĽllt werden
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Re: Dieser Verbindung wird nicht vertraut

Beitragvon jutta » Mi 01 Feb, 2012 15:41

zu /als rant: hier wird sogar erklaert, wie man andere pdf-reader deaktiviert, damit man der allheilige alleinzige adobe pdf reader verwendet werden kann https://financial.ucsc.edu/Pages/Financ ... HowTo.aspx
bei mehr oder weniger oeffentlichrechtlichen institutionen finde ich das schon ein bisschen bedenklich (auch in den usa)

ein positives gegenbeispiel ist die uni wien zb http://othes.univie.ac.at/13906/ da wird der adobe reader nur als eine von mehreren moeglichkeiten genannt. da gibts uebrigens ein paar hinweise fuer die konvertierung in pdf, die nicht nur fuer diplom- und doktorarbeiten gelten http://othes.univie.ac.at/pdf.html
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: Dieser Verbindung wird nicht vertraut

Beitragvon jutta » Mi 01 Feb, 2012 17:00

just for the record @pdf-formulare:

da gibts diese oben erwaehnten formulare, die nur mit einem ganz neuen acrobat-reader und sonst keinem funktionieren. bisher bekam ich auch unter der linux-version des acrobat-reader immer eine fehlermeldung. nach der habe ich nun etwas intensiver gegoogelt und diesen hinweis gefunden: http://forums.linuxmint.com/viewtopic.php?f=47&t=70040
mit dem "acroread-escript" funktioniert das oeffnen nun tatsaechlich.

die installation war unter debian (hier squeeze, 32 bit) ein wenig muehsam, weil das acroread-escript die version 9.4.7 voraussetzt, aber eine 9.4.2 installiert war. die musste ich zunaechst manuell deinstallieren, dann hat es funktioniert.
noch ein hinweis: auf der adobe-seite kriegt man derzeit nur die aeltere version (9.4.2) angeboten - auch wenn man dem hinweis-link in dokument folgt.
voellig easy, wenn man es einmal hat, aber bis dahin liest man kiloweise fehlermeldungen und hinweise auf die man-pages von apt und dpkg, die nicht wirklich weiterhelfen.

bei dem verlinkten beitrag im linuxmint-forum steht auch ein bisschen zu den technischen hintergruenden dieses plugins und der javascript-technologie, die dahintersteht.

und zum speichen: die einfachste loesung ist, das ausgefuellte formular als pdf "auszudrucken". mit dem smart draw pdf-filter hat das tadellos funktioniert, mit dem pdf-creator bekam ich eine fehlermeldung, von der ich noch nicht genau weiss, was die ursache ist. (bearbeitbar ist es danach allerdings nicht mehr.)
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: Dieser Verbindung wird nicht vertraut

Beitragvon jutta » Mi 01 Feb, 2012 17:27

lordpeng hat geschrieben:>Und zu den PDFs noch: Besonders mĂĽhsam wird es, wenn - insbesondere auch
>öffentliche Stellen wie das Finanzamt - auf PDF-Formulare setzen...
weil ich zumindest 'indirekt' so einiges damit zu tun hab: was wär in deinen augen denn sinnvoller?


frueher gab es die meisten ausfuellbaren behoerden-formulare als .rtf. die haben plattformuebergreifend mit software funktioniert, die auf jedem buero-rechner und wohl auch auf den meisten heimrechnern sowieso installiert ist. (und haben nebenbei den vorteil, dass man zum erstellen keine sauteuren acrobat-vollversionen benoetigt.) wenn man sie nach dem ausfuellen vor veraenderungen schuetzen will, kann man sie noch immer pdf-isieren.

da faellt mir noch ein halblustiges detail zu den oben erwaehnten formularen des us-patentamtes ein. die gehen bei uns fertig ausgefuellt (da bereits beim amt eingereicht), aber noch immer editierbar (!) ein. ob das an der dummheit einer schreibkraft beim us-kollegen liegt oder ein "feature" ist, weiss ich nicht. jedenfalls ist es lustig, denn ich kann die bereits eingereichten formulare (die ja dokumentcharakter haben sollen) unabsichtlich oder absichtlich jederzeit veraendern/verfaelschen, bevor ich sie zum akt speichere oder dem klienten zustelle.

vielleicht sollte ich den thread schoen langsam nach off-topic verschieben :angel:
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: Dieser Verbindung wird nicht vertraut

Beitragvon 8191 » Mo 13 Feb, 2012 08:49

Zum PrĂĽfen von signierten PDFs, die mittels BĂĽrgerkarte (oder einer anderen, dem Signaturgestz entsprechenden, Methode) signiert wurde, braucht man keinen Adobe Reader: http://www.signatur.rtr.at/de/index.html
Weitere Infos und (offline) Möglichkeiten gibt's da: http://www.buergerkarte.at/

al hat geschrieben:Aber dass dieses wahllose Hinzufügen neuer Root-Certs (keiner kontrolliert dabei irgendwas) das ganze Vertrauensgerüst in sich zusammenfallen lässt, ignoriert jeder...

Hast du dir schon mal die Prozedur bei beispielsweise Mozilla angesehen? Das ist garnicht so einfach, dass man da als Zertifizierungsstelle aufgenommen wird. Nicht ohne Grund ist die A-Trust erst seit v6 im FF. Das Verfahren dauert mitunter über ein Jahr, wenn man nicht ständig als Firma dahinter ist.
Hier ist beschrieben wie die Verifizierung verläuft: https://wiki.mozilla.org/CA:How_to_apply


Ich finde auch, dass das ganze PKI-System von hinten bis vorne "korrupt" bzw kaput ist. Im Endeffekt muss ich meinem Browser- bzw OS-Hersteller voll und ganz vertrauen, wenn ich sicher kommunizieren will. Auch hat, wie schon gesagt, der Endanwender meist keine Möglichkeit bzw nicht das notwendige technische Wissen, zu entscheiden ob eine Zertifikatswarnung relevant ist oder nicht.
Es gibt ja schon Ansätze wie man das System verbessern kann (teil von DNS, zB), aber die Thematik, dass ein Endanwender nicht wissen kann, dass man die Warnung nicht einfach wegklickt ist nachwie vor ein Problem, das man nicht so leicht lösen kann. Am Besten wäre es, wenn der Browser keine Warnung anzeigt, sondern einen Fehler und das Aufrufen der Webseite verweigert, aber das hätte whs. nur genervte User als Resultat, da sie dann einfach zu einem anderen Browser greifen der die Seite anzeigt.

Bestes Beispiel fĂĽr das kaputte System ist Diginotar. :(
http://www.heise.de/security/meldung/De ... 23893.html

lg,
Manuel
8191
Neu im Board
Neu im Board
 
Beiträge: 18
Registriert: Sa 11 Feb, 2012 21:12

Re: Dieser Verbindung wird nicht vertraut

Beitragvon jutta » Mo 13 Feb, 2012 09:03

> Am Besten wäre es, wenn der Browser keine Warnung anzeigt, sondern einen Fehler und das Aufrufen der Webseite verweigert, aber das hätte whs. nur genervte User als Resultat, da sie dann einfach zu einem anderen Browser greifen der die Seite anzeigt.

das habe ich eh schon erlebt (weiss allerdings nicht mehr, bei welcher browser-version; aehnlich auch bei webdav unter win 7). es fuehrt aber imo nur dazu, dass technisch unbedarftere user (also die grosse mehrheit) verschluesselte verbindungen umstaendlich, unpraktisch und einfach **** finden und lieber unverschluesselte verwenden.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Nächste

ZurĂĽck zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 8 Gäste