[gnucash-de] Gnucash 2.6.0 / Fedora 20: Online-Abfrage Kontoumsätze (HBCI)

[Christian Stadelmann]

Hallo

Ich habe vor ein paar Tagen aqbanking auf 5.3.2-0.1.beta.fc20 und
gnucash auf 2.6.0-2.fc20 aktualisiert. Seit diesem Zeitpunkt kann ich
die Kontoumsätze nicht mehr per HBCI abfragen. Ein Downgrade der beiden
Pakete hat das Problem aber nicht gelöst. Vor ca. 1 Woche (mit aqbanking
5.0.25-4.fc20, gnucash 2.4.13-5.fc20) hat es noch einwandfrei
funktioniert.

Reproduzierbar durch:
1. Klick auf Aktionen → Online Aktionen → Abfrage Kontoumsätze
2. im Dialog: von „letztes Abrufdatum“ bis „jetzt“; Ok
3. Passwort eingeben (mehrfach überprüft, das stimmt); Ok
Dialog mit Fehlermeldung:
	Fehler beim Ausführen des Auftrags.
	Status: error - Job contains errors
Im Protokollfenster dahinter steht:

AqBanking v5.3.2.0beta
Sende Aufträge and die Bank(en)
Exklusiver Zugriff auf Benutzer
Exklusiver Zugriff auf Benutzer [SCRUBBED]
HBCI-Aufträge werden ausgeführt
AqHBCI gestartet
Selecting iTAN mode "Smart-TAN plus manuell" (962)
Öffne Dialog mit dem Server
Aufträge werden kodiert
Aufträge werden gesendet
Mit Server verbinden...
Hostname "hbci11.fiducia.de" wird aufgelöst...
IP-Adresse ist "195.200.35.18"
Verbindung zu "hbci11.fiducia.de" wird aufgebaut
Verbunden mit "hbci11.fiducia.de"
TLS: SSL-Cipher priority list: +VERS-SSL3.0:SECURE256:SECURE128
TLS-Handshake-Fehler: -63 (Die Diffie-Hellman-Primzahl, die vom Server
gesendet wurde, ist nicht akzeptabel (zu kurz).)
Erneuter Verbindungsaufbau wird versucht (ohne SSLv3)
Hostname "hbci11.fiducia.de" wird aufgelöst...
IP-Adresse ist "195.200.35.18"
Verbindung zu "hbci11.fiducia.de" wird aufgebaut
Verbunden mit "hbci11.fiducia.de"
TLS: SSL-Cipher priority list: SECURE256:SECURE128
TLS-Handshake-Fehler: -63 (Die Diffie-Hellman-Primzahl, die vom Server
gesendet wurde, ist nicht akzeptabel (zu kurz).)
Es konnte keine Verbindung zum Server aufgebaut werden.
Fehler beim Senden (Netzwerk-Fehler)
AqHBCI abgeschlossen.
Nachbehandlung der Aufträge
Job Umsatzabruf: error
Module zurücksetzen

In den Einstellungen von AqBanking (Werkzeuge →
Onlinebanking-Einrichtung → AqBanking Einrichtungs-Assistenten starten)
hab ich auch schon probiert:
SSLv3 erzwingen deaktiviert/aktiviert (was macht diese Einstellung
eigentlich?)
Die HBCI-Version (3.0) stimmt mit der Angabe meiner Bank überein.

Da ja noch nicht einmal der Schlüsselaustausch funktioniert kann es wohl
auch kaum an anderen Einstellungen liegen.

Laut https://www.ssllabs.com/ssltest/analyze.html?d=hbci11.fiducia.de
ist die einzige Diffie-Hellman-Chiffre TLS_DHE_RSA_WITH_AES_256_CBC_SHA
(0x39) mit einer Schlüssellänge von 1024Bit (DH) respektive 256Bit
(AES). Ist das dem GnuTLS zu kurz? (gnutls 3.1.18-3.fc20)
Liegt der Fehler bei mir (Konfiguration), in der Software oder beim Server?

Mit freundlichem Gruß
Christian Stadelmann
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: This is a digitally signed message part
URL         : <http://lists.gnucash.org/pipermail/gnucash-de/attachments/20140120/a41e0e4a/attachment.sig>