Re: [Hbci4java-help] java.security.cert.CertPathValidatorException: Path does not chain with any of
Brought to you by:
kleiner77
Menu
▾
▴
Re: [Hbci4java-help] java.security.cert.CertPathValidatorException: Path does not chain with any of the trust anchors
|
From: Rolf V. <ro...@we...> - 2010-01-15 08:03:57
|
> Hi,
>
> wofuer eigentlich dieses zwanghaft englische Geschreibe?
> Niemand ausserhalb von Deutschland verwendet HBCI.
Naja, eigentlich sollte HBCI ja mal ein internationaler Standard werden. Hat aber nicht so ganz hingehauen ...
> > Strange, I canŽt find any blame at all.
> > A simple "no" to my question if you knew
> > a way or code to do this was all that was required.
> > So IŽll just look for myself next time I have some
> > spare cycles to use on this program.
> Schreib einen eigenen TrustManager.
>
> SSLContext ctx = SSLContext.getInstance(...);
> KeyManagerFactory km = KeyManagerFactory.getInstance(...);
> km.init(keystore,"...".toCharArray());
>
> TrustManager tm = new MyTrustManager();
> ctx.init(km.getKeyManagers(),new TrustManager[]{tm},null);
> > >> You are proposing to sit here for weeks to find all hbci-servers
> > >> of all banks on this planet and then to constantly monitor them.
Naja, wie Olaf schon schrieb, der Planet ist hier gar nicht relevant, die HBCI-Server stehen alle in Deutschland, und es sind gar nicht so arg viele, mich würde es wundern, wenn es mehr als 30 - 40 öffentlich zugängliche wären.
Außerdem ist das Zertifikat des Servers selbst nicht relevant, bloß wenn sich an der Kette, an der das Zertifiakt hängt, was verändert hätte, könnte es notwendig sein, irgendwas zu machen. Aber diese Zertifikate gehören ja alle den Trust Centern und sind oftmals sehr lange gültig (mehrere Jahre bis mehrere Jahrzehnte (!)). Sprich: Wenn erstmal alles läuft, ist vermutlich für einige Jahre Ruhe.
> > > I do not. But you seem to think I have to time to do this, just to
> > > make *you* happy. You are wrong.
> >
> > Why? Did I propose you to do this job or just show
> > how rediculus a solution your proposal was?
"Rediculus" ist es nicht, wenn man's richtig macht. Die Browser machen es ja auch so: Die enthalten die Stammzertifikate und andere Zertifikate der Trust Center, und gegen diese eingebauten Zertifikate werden dann die Zertifikate der besuchten Seiten geprüft. Wenn dabei eine gültige Kette zu einem gültigen Trust Anchor zustande kommt, akzeptiert der Browser das Zertifikat des Webservers ohne Rückfrage beim User. Das ist schon sehr lange so, und scheint wohl auch gut zu funktionieren.
> Nochmal. Ich kann deinen Postings nicht entnehmen, wer deine
> User sind. Woher soll dann jemand wissen, ob die mehr als
> ein Konto haben koennen?
Aus der allerersten Mail ging fast garnichts hervor. Wer Fragen stellt, sollte die notwendigen Infos kurz erwähnen, damit ihm geholfen werden kann.
> > > But this is not a *HBCI4Java related* problem, so I can only give
> > > you the advice to learn how to deal with SSL certificates in Java,
> > > and do not blame others for the fact that you don't know.
> >
> > Did I say it is?
> Warum hast du die Frage dann in der HBCI4Java-Mailingliste
> gestellt und nicht z.Bsp. in de.comp.lang.java?
Man muss erst mal wissen, dass HBCI mit PIN/TAN auf HTTPS aufsetzt, und Java die Prüfung der Zertifikate übernimmt. Das ist evtl. nicht jedem klar.
> Gruss
> Olaf
Rolf
|
