Prevzem digitalnega potrdila KDP - težave

Imam nekaj težav oz. nejasnosti pri prevzemu kvalificiranega digitalnega potrdila.

Pred kratkim sem se odločil, da pri banki Sparkasse odprem nov račun in uporabljam spletno bančništvo NetStik. Zataknilo se mi je pri prevzemu kvalificiranega digitalnega potrdila. Po pošti sem že dobil avtorizacijsko kodo in po emailu referenco, vendar potrdila še nisem prevzel. V navodilih piše, da je potrebno iti na spletno stran postarca ( https://postarca.posta.si/cda-cgi/clien... ), kjer prevzamem to potrdilo. Poskušal sem se povezati na omenjeno stran, vendar pa mi Firefox javi napako, ko se seja preklopi iz HTTP na HTTPS, da povezave ni možno vzpostaviti, ker ne prepozna njihovega https certifikata.

Da, jaz zelo dobro poznam postopek "Add exception..." v teh primerih, ampak tega ne želim storiti, ker ne vem oz. nimam nobenega dokaza, da je ta certifikat veljaven oz. pravi. Glede teh neprepoznanih certifikatov na spletu sem zelo zadržan, sploh pri bančništvu! In kolikor jaz tole razumem, bi lahko nekdo nad menoj tale trenutek izvajal MITM napad, ker mi pošilja fake oz. ponarejet HTTPS certifikat. To bi pomenilo, da bi v primeru, da jaz ta certifikat sprejmem, on lahko vohljal in brez problemov bral oz. dešifriral mojo "šifrirano" HTTPS povezavo do strežnika. Posledično pa bi lahko tudi kopiral moj KDP in se na spletu predstavljal kot jaz (da ne omenimo dostopa do moje banke).

Malo sem bral tudi navodila za prevzem KDP na spletni strani POSTArCA, pa se mi zdijo nekam zastarela oz. "out of date". Nikjer ne zasledim kaj storiti glede tega HTTPS opozorila. Kje oz. kako lahko preverim, če je trenutni HTTPS certifikat pravi in veljaven? Zakaj mi Firefox sploh javi to napako? Zakaj avtomatsko ne prepozna njihovega certifikata - mar res nekdo izvaja MITM? Zakaj bi ga bilo treba ročno dodajati v brskalnike? Pri CA-jih bi pričakoval, da to nebi bilo potrebno.

Tule je še nekaj podrobnosti o HTTPS certifikatu za "https://postarca.posta.si":

 This Connection is Untrusted
 
 You have asked Firefox to connect securely to postarca.posta.si,
 but we can't confirm that your connection is secure. Normally,
 when you try to connect securely, sites will present trusted
 identification to prove that you are going to the right place.
 However, this site's identity can't be verified.
 
 Technical details:
 
 postarca.posta.si uses an invalid security certificate.
 The certificate is not trusted because no issuer chain was provided.
 (Error code: sec_error_unknown_issuer)
 

 X.509 (PEM)
 https://postarca.posta.si
 
 -----BEGIN CERTIFICATE-----
 MIIElzCCA3+gAwIBAgIEPkYDbDANBgkqhkiG9w0BAQUFADAwMQswCQYDVQQGEwJT
 STEOMAwGA1UEChMFUE9TVEExETAPBgNVBAsTCFBPU1RBckNBMB4XDTA4MDMxNzA5
 MTYzMVoXDTEzMDMxNzA5NDYzMVowbDELMAkGA1UEBhMCU0kxDjAMBgNVBAoTBVBP
 U1RBMREwDwYDVQQLEwhQT1NUQXJDQTEQMA4GA1UECxMHU2VydmVyczEoMAwGA1UE
 BRMFMTAwMDAwGAYDVQQDExFwb3N0YXJjYS5wb3N0YS5zaTCBnzANBgkqhkiG9w0B
 AQEFAAOBjQAwgYkCgYEA5U0UkdVW3ECdz8jIKSulNgGju+a5PAVykBOCjeh/5zB5
 K2ORqDMiOC4QE9c+7a2ADOqKF5Z7VQP6704jFbdvNiHz2u8pxREDvxIHeLthis06
 0FmXioJYlHSBiu4RX/7GO8m0cHnxtokB7/lhbDnIeJ3EnyYzNLv6u8xtprso9ykC
 AwEAAaOCAf8wggH7MA4GA1UdDwEB/wQEAwIFoDArBgNVHRAEJDAigA8yMDA4MDMx
 NzA5MTYzMVqBDzIwMTMwMzE3MDk0NjMxWjBMBgNVHSAERTBDMEEGDCsGAQQB9zQB
 AgEBADAxMC8GCCsGAQUFBwIBFiNodHRwOi8vcG9zdGFyY2EucG9zdGEuc2kvZG9r
 dW1lbnRpLzATBgNVHSUEDDAKBggrBgEFBQcDATAdBgNVHREEFjAUgRJ3ZWJtYXN0
 ZXJAcG9zdGEuc2kwgdMGA1UdHwSByzCByDBIoEagRKRCMEAxCzAJBgNVBAYTAlNJ
 MQ4wDAYDVQQKEwVQT1NUQTERMA8GA1UECxMIUE9TVEFyQ0ExDjAMBgNVBAMTBUNS
 TDYzMHygeqB4hktsZGFwOi8vcG9zdGFyY2EucG9zdGEuc2kvb3U9UE9TVEFyQ0Es
 bz1QT1NUQSxjPVNJP2NlcnRpZmljYXRlUmV2b2NhdGlvbkxpc3SGKWh0dHA6Ly9w
 b3N0YXJjYS5wb3N0YS5zaS9jcmwvcG9zdGFyY2EuY3JsMB8GA1UdIwQYMBaAFD+9
 zY7fvtFrZUQ/YOzqQi4wcB9oMB0GA1UdDgQWBBSfWZ1SPgIMMYSVP5EvvL8/Gcal
 czAJBgNVHRMEAjAAMBkGCSqGSIb2fQdBAAQMMAobBFY3LjEDAgOoMA0GCSqGSIb3
 DQEBBQUAA4IBAQBVRo3ThVIreGY6bPAu/jwKvzuBB0ySxp7FbdECwluM+X6qZ6dR
 zLCIuoE58/OgAye80LAxR5ua95ScbBj5fbwJy+jFk+N2oZZ0zKtP2aOmUpE65BE8
 u+2XZm4Ui3kvSC+dgMwhzNtj8tLYAU1U/9o5WOmKN0vPqLUV5qgHgQwjsYGtKqSP
 /jOCTbMZd9NlS3xfc97RgzK9xpjwXHWxRRFxDJiOXitDxe4vpcyhpjl1+8j16Qri
 55ubGplgf6GmOWL1aTQiSMlZeMjgqKADoof008Qt7sSb9WPaR0TPhv9JZ+MH5X4+
 WIUF8FHWyhCwOuzJeRQ0dH868W39TYkdD/bM
 -----END CERTIFICATE-----
 

 ~$ openssl x509 -in postarca.posta.si -text -noout
 Certificate:
 Data:
 Version: 3 (0x2)
 Serial Number: 1044775788 (0x3e46036c)
 Signature Algorithm: sha1WithRSAEncryption
 Issuer: C=SI, O=POSTA, OU=POSTArCA
 Validity
 Not Before: Mar 17 09:16:31 2008 GMT
 Not After : Mar 17 09:46:31 2013 GMT
 Subject: C=SI, O=POSTA, OU=POSTArCA, OU=Servers/serialNumber=10000, CN=postarca.posta.si
 Subject Public Key Info:
 Public Key Algorithm: rsaEncryption
 RSA Public Key: (1024 bit)
 Modulus (1024 bit):
 00:e5:4d:14:91:d5:56:dc:40:9d:cf:c8:c8:29:2b:
 a5:36:01:a3:bb:e6:b9:3c:05:72:90:13:82:8d:e8:
 7f:e7:30:79:2b:63:91:a8:33:22:38:2e:10:13:d7:
 3e:ed:ad:80:0c:ea:8a:17:96:7b:55:03:fa:ef:4e:
 23:15:b7:6f:36:21:f3:da:ef:29:c5:11:03:bf:12:
 07:78:bb:61:8a:cd:3a:d0:59:97:8a:82:58:94:74:
 81:8a:ee:11:5f:fe:c6:3b:c9:b4:70:79:f1:b6:89:
 01:ef:f9:61:6c:39:c8:78:9d:c4:9f:26:33:34:bb:
 fa:bb:cc:6d:a6:bb:28:f7:29
 Exponent: 65537 (0x10001)
 X509v3 extensions:
 X509v3 Key Usage: critical
 Digital Signature, Key Encipherment
 X509v3 Private Key Usage Period: 
 Not Before: Mar 17 09:16:31 2008 GMT, Not After: Mar 17 09:46:31 2013 GMT
 X509v3 Certificate Policies: 
 Policy: 1.3.6.1.4.1.15284.1.2.1.1.0
 CPS: http://postarca.posta.si/dokumenti/
 
 X509v3 Extended Key Usage: 
 TLS Web Server Authentication
 X509v3 Subject Alternative Name: 
 email:webmaster@posta.si
 X509v3 CRL Distribution Points: 
 DirName:/C=SI/O=POSTA/OU=POSTArCA/CN=CRL63
 URI:ldap://postarca.posta.si/ou=POSTArCA,o=POSTA,c=SI?certificateRevocationList
 URI:http://postarca.posta.si/crl/postarca.c...
 
 X509v3 Authority Key Identifier: 
 keyid:3F:BD:CD:8E:DF:BE:D1:6B:65:44:3F:60:EC:EA:42:2E:30:70:1F:68
 
 X509v3 Subject Key Identifier: 
 9F:59:9D:52:3E:02:0C:31:84:95:3F:91:2F:BC:BF:3F:19:C6:A5:73
 X509v3 Basic Constraints: 
 CA:FALSE
 1.2.840.113533.7.65.0: 
 0
 ..V7.1....
 Signature Algorithm: sha1WithRSAEncryption
 55:46:8d:d3:85:52:2b:78:66:3a:6c:f0:2e:fe:3c:0a:bf:3b:
 81:07:4c:92:c6:9e:c5:6d:d1:02:c2:5b:8c:f9:7e:aa:67:a7:
 51:cc:b0:88:ba:81:39:f3:f3:a0:03:27:bc:d0:b0:31:47:9b:
 9a:f7:94:9c:6c:18:f9:7d:bc:09:cb:e8:c5:93:e3:76:a1:96:
 74:cc:ab:4f:d9:a3:a6:52:91:3a:e4:11:3c:bb:ed:97:66:6e:
 14:8b:79:2f:48:2f:9d:80:cc:21:cc:db:63:f2:d2:d8:01:4d:
 54:ff:da:39:58:e9:8a:37:4b:cf:a8:b5:15:e6:a8:07:81:0c:
 23:b1:81:ad:2a:a4:8f:fe:33:82:4d:b3:19:77:d3:65:4b:7c:
 5f:73:de:d1:83:32:bd:c6:98:f0:5c:75:b1:45:11:71:0c:98:
 8e:5e:2b:43:c5:ee:2f:a5:cc:a1:a6:39:75:fb:c8:f5:e9:0a:
 e2:e7:9b:9b:1a:99:60:7f:a1:a6:39:62:f5:69:34:22:48:c9:
 59:78:c8:e0:a8:a0:03:a2:87:f4:d3:c4:2d:ee:c4:9b:f5:63:
 da:47:44:cf:86:ff:49:67:e3:07:e5:7e:3e:58:85:05:f0:51:
 d6:ca:10:b0:3a:ec:c9:79:14:34:74:7f:3a:f1:6d:fd:4d:89:
 1d:0f:f6:cc
 

 Fingerprints:
 SHA1: F2:05:E7:0A:A2:AC:FE:14:FA:A4:4E:9A:70:45:44:25:CD:24:23:58
 MD5: 94:B0:43:26:06:36:AF:45:37:37:B8:46:65:FB:65:9F
 

W00000t?
Postarca je bila vcasih eno izmed redkih podjetij na tem planet za katerega je nekomu uspelo, da je bil dodan v Microsoftovo trusted certificate listo(tist update, ki pride enkrat na mesec).
Mal cudno, da ga nisi mel ze not...razen ce firefox ne uposteva te liste seveda :)
Verjetno da bi v ie-ju delalo brez rocnega dodajanja.

V IE ga potem izvozi v FF in mora delati.

V FF ne moreš dodati poštarca root ca ?

Ampak pazi če ga boš uvažal v IE, da pri uvozu odkljukaš možnost, da je izvozljiv.