Mocca und Signatur für Java-Webstart

    Hi,


    beim Zugriff auf den Mocca Applet via http://buergerkarte.at/ kommt ein Signaturfehler, da die Webapp mit einem nicht vertrauenswürdigen Zeritifikat signiert wurde: http://i.imgur.com/dDBZh.png


    Zuerst sei mal dazugesagt, dass ich die Verisign ROOT-CA in meinem Zertifikatsspeicher habe, allerdings kennt weder die Verisign Website noch meine Zertifikatsspeicher dieses "VeriSign Class 3 Code Signing 2010 CA" Zertifikat. Ich vermute ja, dass es ein Subzertifikat von "Common Name = VeriSign Class 3 Public Primary Certification Authority - G5" (Certificate SHA1 Fingerprint: 4e b6 d5 78 49 9b 1c cf 5f 58 1e ad 56 be 3d 9b 67 44 a5 e5) ist. Das würde aber bedeuten dass die Zertifikat Chain im Webstart irgendwie im Eimer ist oder hab ich da was falsch verstanden?


    Die aktuelle ROOT-CA (49:58:47:A9:31:87:CF:B8:C7:1F:84:0C:B7:B4:14:97:AD:95:C6:4F) gibt es in keinem mir bekannten Zertifikatsspeicher (Mozilla, Debian, Java etc?).


    Bin ich also entweder zu blöd oder wird Mocca wie schon früher (die klarerweise nicht vertrauenswürdigen A-Trust Zertifikate) einfach mit falschen Signaturdaten ausgeliefert?


    Vielen Dank und mit freundlichen Grüßen,
    Florian Apolloner

    Hier handelt es sich um einen Bug im IcedTea Plugin bzw. in OpenJDK.
    Ihre Vermutung war richtig, das angezeigte Zertifikat ist ein Zwischenzertifikat von VeriSign, von dem das IcedTea Plugin nicht die korrekte Zertifikatskette zum von Ihnen genannten Wurzelzertifikat bilden kann (obwohl es mitgeliefert wird).
    Das Sun Java Plugin kann die Kette korrekt bilden.
    Zu diesem Fehler finde ich Bugreports von April 2010, allerdings hat sich anscheinend bis jetzt nichts getan.

    Das Sun Java Plugin präsentiert mir hier überhaupt ein ganz anderes Zertifikat: http://i.imgur.com/GRgfY.png -- was mich dann doch etwas stutzig macht. Auch ein beherztes rm -rf ~/.java ändert daran nichts.


    Ich bewege mich jetzt zwar vlt auf etwas dünnes Eis, aber von https kenne ich es so, dass ich die gesamte Certchain angeben kann und der Browser dann nur das Root Cert kennen muss und nicht die intermediate dazwischen (anders wäre es ja auch etwas doof ;)) -- ist sowas bei dem Java Webstart Zeug nicht möglich?


    Vor allem da Sun Java in absehbarer Zeit nimmer existiert wäre es sinnvoll OpenJDK zu unterstützen.


    Mit freundlichen Grüßen,
    Florian Apolloner

    Dieser Dialog bezieht sich nur auf die https-Verbindung - also das Zertifikat der Website http://www.buergerkarte.at
    Nach Bestätigung dieses Dialogs kommt erst die Überprüfung des Java-Zertifikats.


    Ja, auch hier wird die gesamte Kette mitgeliefert. Wie gesagt, es handelt sich um einen bekannten Bug in OpenJDK. Wir werden überprüfen, ob es einen Workaround dafür gibt, und falls ja, ihn im nächsten Release mitliefern.

    Toll, fängt jetzt also wieder das alte A-Trust Theater an? Mal ganz ehrlich; die Zielgruppe der Bürgerkarte hat nicht notwendigerweise ne Ahnung warum die A-Trust Root-CAs nicht in den Cert Stores der Browser sind -- denen kann man nur raten, dass wenn ein Warning kommt die Verbindung zu unterbrechen.


    Ich finde es ehrlich gesagt ziemlich peinlich, dass A-Trust keinen (anerkannten) Audit über sich ergehen lässt, bzw ihr es nicht wichtig hält sinnvolle Zertifikate zu verwenden (lies im Browser vorhanden).


    Und ich will jetzt nichts über die Sicherheit (bzw das Gegenteil davon, siehe Diginoar und Freunde) etc hören, einem Enduser kann man nicht zumuten, dass er sich damit auseinandersetzt. Dort kann man nur sagen: Wenn der Browser das Zertifikat als gültig akzeptiert -> gut und wenn nicht -> weg von der Seite. Es ist traurig dass gerade eine staatliche (bzw staatsnahe, keine Ahnung was ihr seid ;)) Organisation es nicht für notwendig erachtet Sicherheitsstandards hoch zu halten (und ja mir ist die aktuelle SSL CA Problematik durchaus bewusst, aber davon weiß der Enduser im Normalfall auch nicht allzu viel).


    Das ganze wäre ja nichtmal so schlimm, wenn man bei eurer Supporthotline anrufen könnte und die nach dem Fingerprint des Zertifikates fragen könnte (auch wenn nicht ganz optimal, aber eine MITM-Attacke halte ich im Festnetz unwahrscheinlicher als auf ner Website). Aber selbst das geht ja nicht, da ist man entweder nicht zuständig oder hat keine Ahnung von was überhaupt die Rede ist.


    Sprich ich kann den Leuten die mich hierbei um Hilfe bitten nur sagen: "Finger weg von der Bürgerkarte, bis die Leute Sicherheit ernst nehmen" [Gut, dass ich selbst der Bürgerkarte eher abgeneigt bin ist ein Thema für einen anderen Tag]


    Entschuldigt bitte falls der Beitrag jetzt vlt etwas hart klingt, aber irgendwie hinterlässt das alles ein ungutes Gefühl?


    Mit freundlichen Grüßen,
    Florian Apolloner