» »

Prevzem digitalnega potrdila KDP - težave

Prevzem digitalnega potrdila KDP - težave

Triplet ::

Imam nekaj težav oz. nejasnosti pri prevzemu kvalificiranega digitalnega potrdila.

Pred kratkim sem se odločil, da pri banki Sparkasse odprem nov račun in uporabljam spletno bančništvo NetStik. Zataknilo se mi je pri prevzemu kvalificiranega digitalnega potrdila. Po pošti sem že dobil avtorizacijsko kodo in po emailu referenco, vendar potrdila še nisem prevzel. V navodilih piše, da je potrebno iti na spletno stran postarca ( https://postarca.posta.si/cda-cgi/clien... ), kjer prevzamem to potrdilo. Poskušal sem se povezati na omenjeno stran, vendar pa mi Firefox javi napako, ko se seja preklopi iz HTTP na HTTPS, da povezave ni možno vzpostaviti, ker ne prepozna njihovega https certifikata.

Da, jaz zelo dobro poznam postopek "Add exception..." v teh primerih, ampak tega ne želim storiti, ker ne vem oz. nimam nobenega dokaza, da je ta certifikat veljaven oz. pravi. Glede teh neprepoznanih certifikatov na spletu sem zelo zadržan, sploh pri bančništvu! In kolikor jaz tole razumem, bi lahko nekdo nad menoj tale trenutek izvajal MITM napad, ker mi pošilja fake oz. ponarejet HTTPS certifikat. To bi pomenilo, da bi v primeru, da jaz ta certifikat sprejmem, on lahko vohljal in brez problemov bral oz. dešifriral mojo "šifrirano" HTTPS povezavo do strežnika. Posledično pa bi lahko tudi kopiral moj KDP in se na spletu predstavljal kot jaz (da ne omenimo dostopa do moje banke).

Malo sem bral tudi navodila za prevzem KDP na spletni strani POSTArCA, pa se mi zdijo nekam zastarela oz. "out of date". Nikjer ne zasledim kaj storiti glede tega HTTPS opozorila. Kje oz. kako lahko preverim, če je trenutni HTTPS certifikat pravi in veljaven? Zakaj mi Firefox sploh javi to napako? Zakaj avtomatsko ne prepozna njihovega certifikata - mar res nekdo izvaja MITM? Zakaj bi ga bilo treba ročno dodajati v brskalnike? Pri CA-jih bi pričakoval, da to nebi bilo potrebno.

Tule je še nekaj podrobnosti o HTTPS certifikatu za "https://postarca.posta.si":


This Connection is Untrusted

You have asked Firefox to connect securely to postarca.posta.si,
but we can't confirm that your connection is secure. Normally,
when you try to connect securely, sites will present trusted
identification to prove that you are going to the right place.
However, this site's identity can't be verified.

Technical details:

postarca.posta.si uses an invalid security certificate.
The certificate is not trusted because no issuer chain was provided.
(Error code: sec_error_unknown_issuer)


X.509 (PEM)
https://postarca.posta.si

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----


~$ openssl x509 -in postarca.posta.si -text -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1044775788 (0x3e46036c)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=SI, O=POSTA, OU=POSTArCA
Validity
Not Before: Mar 17 09:16:31 2008 GMT
Not After : Mar 17 09:46:31 2013 GMT
Subject: C=SI, O=POSTA, OU=POSTArCA, OU=Servers/serialNumber=10000, CN=postarca.posta.si
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:e5:4d:14:91:d5:56:dc:40:9d:cf:c8:c8:29:2b:
a5:36:01:a3:bb:e6:b9:3c:05:72:90:13:82:8d:e8:
7f:e7:30:79:2b:63:91:a8:33:22:38:2e:10:13:d7:
3e:ed:ad:80:0c:ea:8a:17:96:7b:55:03:fa:ef:4e:
23:15:b7:6f:36:21:f3:da:ef:29:c5:11:03:bf:12:
07:78:bb:61:8a:cd:3a:d0:59:97:8a:82:58:94:74:
81:8a:ee:11:5f:fe:c6:3b:c9:b4:70:79:f1:b6:89:
01:ef:f9:61:6c:39:c8:78:9d:c4:9f:26:33:34:bb:
fa:bb:cc:6d:a6:bb:28:f7:29
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Private Key Usage Period:
Not Before: Mar 17 09:16:31 2008 GMT, Not After: Mar 17 09:46:31 2013 GMT
X509v3 Certificate Policies:
Policy: 1.3.6.1.4.1.15284.1.2.1.1.0
CPS: http://postarca.posta.si/dokumenti/

X509v3 Extended Key Usage:
TLS Web Server Authentication
X509v3 Subject Alternative Name:
email:webmaster@posta.si
X509v3 CRL Distribution Points:
DirName:/C=SI/O=POSTA/OU=POSTArCA/CN=CRL63
URI:ldap://postarca.posta.si/ou=POSTArCA,o=POSTA,c=SI?certificateRevocationList
URI:http://postarca.posta.si/crl/postarca.c...

X509v3 Authority Key Identifier:
keyid:3F:BD:CD:8E:DF:BE:D1:6B:65:44:3F:60:EC:EA:42:2E:30:70:1F:68

X509v3 Subject Key Identifier:
9F:59:9D:52:3E:02:0C:31:84:95:3F:91:2F:BC:BF:3F:19:C6:A5:73
X509v3 Basic Constraints:
CA:FALSE
1.2.840.113533.7.65.0:
0
..V7.1....
Signature Algorithm: sha1WithRSAEncryption
55:46:8d:d3:85:52:2b:78:66:3a:6c:f0:2e:fe:3c:0a:bf:3b:
81:07:4c:92:c6:9e:c5:6d:d1:02:c2:5b:8c:f9:7e:aa:67:a7:
51:cc:b0:88:ba:81:39:f3:f3:a0:03:27:bc:d0:b0:31:47:9b:
9a:f7:94:9c:6c:18:f9:7d:bc:09:cb:e8:c5:93:e3:76:a1:96:
74:cc:ab:4f:d9:a3:a6:52:91:3a:e4:11:3c:bb:ed:97:66:6e:
14:8b:79:2f:48:2f:9d:80:cc:21:cc:db:63:f2:d2:d8:01:4d:
54:ff:da:39:58:e9:8a:37:4b:cf:a8:b5:15:e6:a8:07:81:0c:
23:b1:81:ad:2a:a4:8f:fe:33:82:4d:b3:19:77:d3:65:4b:7c:
5f:73:de:d1:83:32:bd:c6:98:f0:5c:75:b1:45:11:71:0c:98:
8e:5e:2b:43:c5:ee:2f:a5:cc:a1:a6:39:75:fb:c8:f5:e9:0a:
e2:e7:9b:9b:1a:99:60:7f:a1:a6:39:62:f5:69:34:22:48:c9:
59:78:c8:e0:a8:a0:03:a2:87:f4:d3:c4:2d:ee:c4:9b:f5:63:
da:47:44:cf:86:ff:49:67:e3:07:e5:7e:3e:58:85:05:f0:51:
d6:ca:10:b0:3a:ec:c9:79:14:34:74:7f:3a:f1:6d:fd:4d:89:
1d:0f:f6:cc


Fingerprints:
SHA1: F2:05:E7:0A:A2:AC:FE:14:FA:A4:4E:9A:70:45:44:25:CD:24:23:58
MD5: 94:B0:43:26:06:36:AF:45:37:37:B8:46:65:FB:65:9F

Hayabusa ::

Imaš nameščen root ca: https://postarca.posta.si/default.asp?v... ?

Si naredil RTFM https://postarca.posta.si/default.asp?v... ?


Prevzemi digitalno potrdilo v IE.

Looooooka ::

W00000t?
Postarca je bila vcasih eno izmed redkih podjetij na tem planet za katerega je nekomu uspelo, da je bil dodan v Microsoftovo trusted certificate listo(tist update, ki pride enkrat na mesec).
Mal cudno, da ga nisi mel ze not...razen ce firefox ne uposteva te liste seveda :)
Verjetno da bi v ie-ju delalo brez rocnega dodajanja.

Triplet ::

Firefox očitno ne prepozna nobenega root ca oz. posrednega certifikata, ki bi bil uporabljen za overitev certifikata spletne strani postarca. Na IE pa sploh pomislil nisem, saj ga že vsaj 10 let ne uporabljam (večino časa preživim v Linux-u). Ti šment, da se IE res nič ne pritožuje nad HTTPS certifikatom.

Hayabusa ::

V IE ga potem izvozi v FF in mora delati.

V FF ne moreš dodati poštarca root ca ?

Triplet ::

CA na FF pa nisem inštaliral, ker nisem imel nobenega dokaza, da je ta ca verodostojen. Zdaj, ko vidim, da v IE deluje, bi ga verjetno lahko dodal v FF. Čudno se mi zdi, da je verodostojen, pa ga FF ne prepozna. Saj je FF valda eden glavnih brskalnikov...

Mimo grede, Hayabusa, zakon podpis imaš. :)

Zgodovina sprememb…

  • spremenilo: Triplet ()

fosil ::

Ampak pazi če ga boš uvažal v IE, da pri uvozu odkljukaš možnost, da je izvozljiv.
Tako je!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

A še sprejemate pošiljke iz Aliexpressa? (strani: 1 2 )

Oddelek: Loža
569948 (6296) kixs
»

Twitter je telefonske številke za dvostopenjsko avtentikacijo uporabljal za oglaševan

Oddelek: Novice / Zasebnost
379233 (7700) SeMiNeSanja
»

Halcom ena za vse kako z njo podpisovati pošto v Thunderbirdu in drugje

Oddelek: Informacijska varnost
152975 (2372) mat xxl
»

Samopodpisan certifikat na Outlook Office 365/Win10

Oddelek: Operacijski sistemi
162908 (2517) poweroff
»

Digitalno potrdilo, spletna banka

Oddelek: Pomoč in nasveti
142414 (2060) Invictus

Več podobnih tem