otbank új szerver tanusítványa

Security-all

Sziasztok!
https://www.otpbank.hu megnyitásakor érdekes hibát kapok Firefox 2.0.0.4 (windows és Linux alatt is)
Figyelmeztető üzenetet dob:
www.otpbank.hu ne azonosítható megbízható webhelyként
A hiba lehetséges okai:
-A böngésző nem ismeri a webhely tanúsítványát kiadó hitelesítésszolgáltatót.
-A webhely tanúsítványa nem telejes a kiszolgáló helytelen beállítása miatt.
-Egy olyan webhelyhez kapcsolódott, amely a(z) www.otpbank.hu webhelynek vallja magát, vélhetően azért, hogy hogy az Ön bizalmas adatait megszerezze.

Vicc, hogy IE nem köhög de benne nem bízom!...

5let ?

  • 3784 megtekintés

( pinyo_villany | 2007. 06. 08., p – 19:50 )

iceweasel-re nem pofázik
__________________________________________________________________

Nekem mindig igazam van, ha nem, akkor nincs igazam, szoval megint igazam van hogy nincs igazam.

( trey | 2007. 06. 08., p – 19:54 )

Nekem nem mond ilyet. Tegnap láttam, hogy új tanusítvány van. Ellenőriztem, elfogadtam, azóta működik.

--
trey @ gépház

Na igen de biztos vagy benne, hogy nem hamisított ??
hiszen, ha megbízható kiadótól származna, akkor a kérdés fel sem jött volna...
nálam a tanusítány sorozatszáma (viszgálat részletek tanúsítvány sorozatszám )04:58:67:57:14:A4:C2:4E:26:99:88:78:E0:CE:BA:0B

Ha átadod a tudásod neked attól még nem lesz kevesebb belőle..

Nekemis hasonlo a szitu. Sorozatszam is stimmel.

Ugy emlekszem, mikor 'rendes' cert-je van egy oldalnak nem ir ki olyasmit, hogy "unable to verify", hanem siman acceptalja (vagy mintha feldobna egy ablakot hogy cert by xy blabla).

Nemhinnem hogy vmi gond lenne amugy. Amugyis ott az sms-es azonositas :)

egyszerúen próbáld ki:
1.)
https://www.cacert.org

hasonlóüzenet mint otpbanknál
2.)http://www.cacert.org/certs/root.crt

fogadd el mint hitelesség szolgáltatót

3.) goto 1.)
nem lesz ablakod, és nem is tárolja el a szerver tanúsítványát

Nem az a kérdés, hogy paranoiás vagyok-e.
Hanem az, hogy eléggé?

No.

1.) odamentem, elfogadtam permanensen

3.) visszamentem az oldalra, nekem nem mond semmit

"és nem is tárolja el a szerver tanúsítványát"

Ha ezalatt azt érted, hogy nem tárolja el az Edit -> Preferences -> Advanced -> View Certificate -> Web Sites alatt, akkor azt kell mondanom, hogy de. Nekem ott van. És az OTP Bank-é is.

(lehet, hogy én értelek félre, nincs kizárva)

--
trey @ gépház

Nem vmi olyanról szól a történet, hogy a cert adatbázisában bennevan, hogy mely cégek mely aláírással vagy mivel adhatnak ki legális cert-et, és ha a kiadó nincs benne az adatbázisban, akkor problémázik? /* vagy csak én emléxel rosszúl, szal FIXME */
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Üllj le és kuss legyen!"..

( tibyke | 2007. 06. 08., p – 20:49 )

nekem is pofazik, hogy unable to verify..
szerintem is sanszos az, hogy vagy a cert kiado vagy a cert titkositas tipusa nem elfogadott, nem hiteles.

t

szerintem meg igen
mert nem tette bele a megbízhatósági láncba az új aláírótanúsítványt.
Esetleg a verisign nem jelentette le h. van neki új.
Vagy a főaláíró nincs benne, így nem tud trust láncot kezelni,
vagy egyszerűen szar a firefox lánckezelése.

Galeonnal teljesen jó ugyan azokkal a kiszolgáló kulcsokkal...

Ha átadod a tudásod neked attól még nem lesz kevesebb belőle..

( bra | 2007. 06. 08., p – 21:57 )

Elkefélték és elfelejtették beletenni a root certet, ill. a teljes cert chaint. Szerintem.

( Panther v | 2007. 06. 08., p – 22:02 )

Nekem firefox meg safari is nyavajog. De ez így lol.. Nem szabadna feljönnie annak az ablaknak...
--
hup.user.js

( tamsa | 2007. 06. 08., p – 22:18 )

szóval hol lehet ezt hibára jelenteni ?!

Ha átadod a tudásod neked attól még nem lesz kevesebb belőle..

Ez nem hiba, egyszerűen hibás a tanúsítvány lánc. De a verisign elvileg master-ca szóval nem értem hogy lehet az általuk kiadott cert hibás, fő a bizalom alapon megvárom míg ezt javítják.
--
A bus station is where a bus stops. A train station is where a train stops. On my desk, I have a work station

( Dr_Mac | 2007. 06. 08., p – 22:33 )

Kipróbáltam én is kivácsiságból. Opera is feldobja a figyelmeztetést. Aztán nyomoztam egy kicsit:

http://knowledge.verisign.com/search/solution.jsp?id=vs39238

Akkor most ki is qrta el?

--------------------------------------------------------------
"Tegnap reggel addig röhögtünk a főnök viccén, míg ki nem derült, hogy az a napi feladat."

hát én biztosan nem :)
az már gyanús aki szó nélkül rákattintott a megbízomra, de ez az ő baja
OTP saras, mert nem tudott értelmes választ adni, megnyugtatni, beolvasni a z ujlenyomatot stb ...
Neumann bácsiban sem vagyok biztos....

Ha átadod a tudásod neked attól még nem lesz kevesebb belőle..

( zeller | 2007. 06. 08., p – 22:47 )

A VeriSign jó dolog, csak nem tudom, hogy az általuk kibocsátott tanusítvány jogilag mennyit és nálunk...

( x-daemon | 2007. 06. 08., p – 23:20 )

regebben egyszer beszeltem a netlockal hogy miert nincs benne a mozillaban mint hitelesitesszolgaltato (a firefoxban azota mar benne van). azt mondtak nem olcso mulatsag. de hogy a verisign-nak ne lenne erre penze az gyanus. ez is uzlet. gondolom minel elterjedtebb a bongeszo annal tobb penzt lehet kerni azert hogy belerakjak.

Sztem ezt felejtsd el.. Vista-ban mondjuk nemtom mi a szitu, de ha ez igaz lenne, akkor az MS mondjuk a firssítésekkel együtt ezt is küldözgetné.. Márpedig az SP2 óta az XP-s IE-ben nem történt CA frissítés ( szal 2002ben kiadták SP2őt, és a mai napig nem frissítették a böngésző CA adatbázisát.. ) (Bár elképzelhetőnek tartom, hogy IE7 már kicsit másabb kategória. De sztem mind VIstánál, mind IE7nél nem lesz 1 ideig frissítve az tuti )
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Üllj le és kuss legyen!"..

Én beküldtem egy képernyőképet amin látszik az Ubuntu alatt futó Firefox böngésző figyelmeztető ablaka.
Erre jött a válasz az OTP Banktól, látszik hogy mennyire kielemezték, gyakorlatilag az a magyarázat, hogy nincs frissítve a Windowsom :-)

A válaszlevél:

Köszönettel vettük bankunkhoz küldött levelét.

A Versign hitelesítő tanúsítvány kulcs megújítása során a bankunk úgy döntött, hogy a honlap titkosított kommunikációjának megvalósításához a Verisign legújabb és legnagyobb biztonságot nyújtó megoldását választja, az ún. Extended Validation certificate-et.

Ezt a certificate-et a Verisign legújabb kiadó tanúsítványa alatt bocsátják ki, ennek az Ön gépen a megbízható szervezetek között kell lennie. Amennyiben nincs, az OTP honlapra csatlakozva a mellékelt dokumentumban található üzenet érkezik.

* Ha a böngészője XP vagy a feletti, akkor a Windows Update-en keresztül automatikusan letöltődik a kliens certificate, Önnek nincs teendője.

* Ha windows2000 vagy annál régebbi, de folyamatosan frissítve van a gép Windows Update-tel, akkor úgyszintén nincs teendője.

* Ha windows2000 vagy korábbi és nincs frissítve, akkor manuálisan telepítenie kell a Verisign legfrissebb tanúsítványát.

Ez az alábbi linkről érhető el:
https://www.otpbank.hu/OTP_Portal/file/PCA3-G5.ZIP
A zipben egy .cer file található, amelyre duplán kell kattintani, majd egy next-next-finish telepítést végezni. Ezután nem jön többé a fenti üzenet.

Az OTP Bank Nyrt. szolgáltatásaival a továbbiakban is állunk az Ön szíves rendelkezésére.

Tényleg nem érted.
Ez nem egyszerűen csak a titkosított adatátvitelről szól, hanem a hitelességről. Ez a lényeg. Ezt biztosítják a CA-k.
És ha előjön egy figyelmeztetés a bankom oldalán (akiben megbíztam, hogy a pénzemet kezelje), akkor jogosan kételkedek előbb, s csak ha meggyőződtem valódiságáról, akkor leszek nyugodt.

Az a legnagyobb veszély, ha valaki csak úgy néhány kattintással mindent elfogad. Én is ki tudok állítani tanusítványt, csak persze nem lesz hiteles.

Ez nem az OTP sara volt...

Ne haragudj, de elolvastad, amit pár hozzászólással feljebb belinkeltem? Mert szerintem ez igenis az OTP balf@szsága.
Idézet az oldalról:
This issue occurs when the Intermediate CA certificate is missing or not installed on the server.

Mondjuk engem nem érint, mert nem ott tartom a pénzem.

--------------------------------------------------------------
"Tegnap reggel addig röhögtünk a főnök viccén, míg ki nem derült, hogy az a napi feladat."

Azért ez aranyos, van egy oldalam ami arra hivatkozik, hogy a cert lánc nem megfelelő, de az oldalról letölthetek egy root-certet, amivel ez már megoldódik. Hát ez szerintem nevetséges, épp arra épül a cert lánc megoldás, hogy nekem a master ca-kban kell megbíznom, és azok a certek amiket ők aláírnak hitelesek, de ha én most az otptől letöltök egy tanúsítványt, ami az otp tanúsítványát érvényessé teszi hát ez a LOL. Ha én gyártok egy ön aláírt tanúsítványt, majd kiadom hozzá az én generált ca-m certjét, akkor onnantól amit én aláírok az mind mind hiteles lesz, felteszem az otp-s nem ön aláírt, de akkor is. OSX-ben be van kapcsolva a online ellenőrzése is de még így sem megy keresztül a cert.

--
A bus station is where a bus stops. A train station is where a train stops. On my desk, I have a work station

Megnéztem a cib-eset is, ott rendben van a lánc. Class 3 Public Primary Certification Authority VeriSign, Inc.

Az otp-nél viszont hiányzik a lánc. Csak kiállító van. De csak a főoldalon, az otpdirektnél már jó a tanúsítvány és a lánc is.
--
A bus station is where a bus stops. A train station is where a train stops. On my desk, I have a work station

( freebush | 2007. 06. 09., szo – 08:16 )

OTP - Megbízunk egymásban :)

Erre talán egy ekkora cégnél jobban kellene figyelni, valszeg lé is lenne egy normális tanusítványra.

( ghost | 2007. 06. 17., v – 17:38 )

Javították, most már jó a lánc is.
--
A bus station is where a bus stops. A train station is where a train stops. On my desk, I have a work station