Handhabung von Zertifikaten für SSL-Verschlüsselung?

Der chaotische Hauptfaden

Moderatoren: Heaterman, Finger, Sven, TDI, Marsupilami72, duese

Antworten
Gernstel
Beiträge: 1297
Registriert: So 11. Aug 2013, 15:36

Handhabung von Zertifikaten für SSL-Verschlüsselung?

Beitrag von Gernstel »

Mein Schlaufon ist gerade erst zehn geworden und sollte noch ein paar Jahre halten. Dummerweise misstraut seine von Android 2.3 gesteuerte Zertifikatsverwaltung verschiedenen Websites. Es war erst nur etwas lästig, dass beim Aufruf von fingers-welt.de seit geraumer Zeit eine (wegklickbare) Sicherheitswarnung "Der Name der Website stimmt nicht mit dem Namen auf dem Zertifikat überein" erschien und bei manchen anderen Websites ein wegklickbares "Dieses Zertifikat wurde nicht von einer vertrauenswürdigen Stelle ausgegeben". Wonach solche Websites doch noch nutzbar waren.

Seit Anfang des Monats scheint aber ein (mir unbekanntes) Zertifikat abgelaufen zu sein oder ein Wechsel erfolgt zu sein. Nunmehr erscheint die schlichte Meldung: "Datenverbindungsproblem. Es konnte keine sichere Verbindung aufgebaut werden." Und damit endet der Versuch, mobil auf https://www.fingers-welt.de zuzugreifen.

Na gut, man kann ja auf dem Schlaufon "Verschlüsselte Zertifikate von der SD-Karte" in den "Anmeldeinformationsspeicher" installieren. Dazu eignet sich eine DER-codierte X.509-Zertifikats-Datei (sagt https://www.kuketz-blog.de/root-zertifi ... r-android/).
Gehe ich nun im Firefox-Webbrowser auf dem PC auf das Schlosssymbol in der Adresszeile, kann ich das (von 2016) bis 27.3.2020 gültige Zertifikat für www.fingers-welt.de speichern als PEM (Zertifikat) und als PEM (Zertifikatskette), also in einem für das Android-Gerät erst einmal untauglichen Dateiformat.

Aber an welcher Stelle versagt die Vertrauenskette eigentlich? Aussteller des Zertifikats ist Let's Encrypt Authority X3, authentifiziert mit einem von 2016 bis 17.3.2021 gültigen Zertifikat von DST Root CA X3. Und die authentifizieren sich wiederum mit einem von 2016 bis 30.9.2021 gültigen Wurzelzertifikat.
Ich kann nicht erkennen, dass in dieser Kette was zum Monatsbeginn abgelaufen ist, seit dem sich die Website nicht mehr laden lässt.

PEM-Format... Da gibt es noch die Einstellungen vom Firefox. Und da finde ich sowohl hinterlegt die Zertifikate von Let's Encrypt Authority X3 als auch DST Root CA X3. Und kann die dort auch im DER-Format exportieren, auf die Speicherkarte des Schlaufons kopieren und von dort wiederum erfolgreich in dessen "Anmeldeinformationsspeicher" installieren. Nach meinem Verständnis sollte das Ding dann bereits das Zertifikat von www.fingers-welt.de akzeptieren können und das automatisch mit dem Webserver aushandeln.

Aber nein, beharrlich zeigt sich: "Datenverbindungsproblem. Es konnte keine sichere Verbindung aufgebaut werden."

Das ist natürlich unbefriedigend. Und wenig hilfreich, den (meinen) eigentlichen Fehler zu finden. Also nächster Versuch des Stocherns im Nebel.

Ich lade auf dem PC die Website www.fingers-welt.de im Firefox-Browser, gehe auf das Schlosssymbol in der Adressleiste und lade die angebotenen Zertifikate sowohl www-fingers-welt-de.pem als auch www-fingers-welt-de-zertifikatskette.pem herunter. Letzteres enthält anscheinend das DST Root CA X3 Zertifikat.

Dann importiere ich beide Zertifikatsdateien mittels des von Windows bereitgestellten certmgr als eigene Zertifikate ins PC-Betriebssystem und exportiere sie wieder als Dateien im benötigten DER-Format. Diese Dateien übertrage ich aufs Schlaufon und installiere sie dort wieder - laut Meldung erfolgreich - in dessen Anmeldeinformationsspeicher. Und das ändert in dessen Browser - erneut genau gar nichts.

Da das Verhalten von mehreren Browsern auf dem Android-Gerät diesbezüglich identisch ist, gehe ich von einem gemeinsam genutzten und von Android bereit gestellten Sockel aus, der sich um Zertifikate und Verschlüsselung kümmert. Andere Zugriffswege darauf sind mir nicht bekannt. Firefox für Android nutzt wohl eine eigene Zertifikatsverwaltung, läuft aber mit dieser alten Android-Version nicht mehr und ist auch von der Bedienung her schwierig auf so kleinen Displays.

Nun wüsste ich gerne, welche Fehler ich mache und wie man es richtig macht. Im IoT-Zeitalter wird der Umgang mit Zertifikaten schließlich immer wichtiger. Und bei solchen Geräten vermutlich noch schwieriger sein als mit einem alten Telefoniergerät.
Sir_Death
Beiträge: 3446
Registriert: Mo 11. Mai 2015, 22:36
Wohnort: südlich von Wien

Re: Handhabung von Zertifikaten für SSL-Verschlüsselung?

Beitrag von Sir_Death »

Ich hoffe, du bist mir nicht böse wenn ich das so direkt sage - aber Android 2.3 ist (mit seinen Apps) ein einziges großes Sicherheits-Scheunentor und sollte absolut nicht mehr genutzt werden.
Bis inklusive Android 7! gibt es schon keine Sicherheitsupdates mehr.

Dein Android kann zwar kein Corona bekommen, trotzdem solltest du - um deine Daten und die (Kontakt)Daten deiner Mitmenschen nicht zu gefährden - dein Handy mit Android 2.3 für immer in Quarantäne schicken.
Es gibt hier Mitglieder die dir eventuell alternative Betriebssysteme empfehlen können - muss jeder selbst wissen.


Alte Dinge weiter nutzen ist unser Lebenszweck! - Aber nicht wenn andere Menschen oder deren Privatsphäre gefährdet ist.
Benutzeravatar
video6
Beiträge: 6794
Registriert: Mi 23. Sep 2015, 09:18
Wohnort: Laage bei Rostock

Re: Handhabung von Zertifikaten für SSL-Verschlüsselung?

Beitrag von video6 »

Was soll da andere gefährden?
Wenn fast nix auf dem Telefon drauf ist ?
Apps laufen sowiso kaum noch welche.
Serverbasierte eh nicht mehr.
Wenn nur wenige bekannte Seiten aufgerufen werden.
Was ist das so schlimm dran?

Und welches Telefon ist es ? Gibt es alternative Software dafür?

Ein Bekannter hat ein Mercedes mit einem Nachgerüsteten Androidradio es läuft mit 2.3 ihn stört nur die veraltete Karte.
Er wusste nicht mal das es Android ist
Gernstel
Beiträge: 1297
Registriert: So 11. Aug 2013, 15:36

Re: Handhabung von Zertifikaten für SSL-Verschlüsselung?

Beitrag von Gernstel »

Danke für den Sicherheitshinweis. Das einzig sichere Mobiltelefon ist zu meiner vollen Überzeugung eines mit leerem Speicher, unabhängig von der Betriebssystemversion. Im Speicher meines Geräts finden sich so spannende Dinge wie eine Offline-Wikipedia, zwei Landkarten, Busfahrpläne, Datenblätter aus dem Web, die Rufnummern von Peter, Klaus, Günni und Petzi, die man auch im Impressum von deren Websites finden kann und zahllose unscharfe Schnappschüsse. Wer daran Interesse hat, kann gerne eine Kopie davon von mir bekommen.

Ich will das Ding auch nicht rooten noch eine fragwürdige Alternativsoftware unbekannter Kompatibilität zur Hardware und unbekannter Qualität aufspielen. Ich mag nur gelegentlich mal auf Hobby- sowie Wetter- und Nachrichten-Websites gucken und bin irritiert, wenn das nicht mehr geht.

In diesem Thread bin ich eigentlich nur an dem Thema Zertifikate interessiert am Beispiel dieser Website und daran, was ich falsch mache und noch mehr, wie man richtig Zertifikate handhabt. Das wird mich auch bei anderen Projekten beschäftigen, und daher würde ich das gerne besser verstehen.
Name vergessen
Beiträge: 3261
Registriert: Mo 12. Aug 2013, 19:47

Re: Handhabung von Zertifikaten für SSL-Verschlüsselung?

Beitrag von Name vergessen »

Ich fürchte, das Problem liegt nicht an den Zertifikaten, sondern am Verschlüsselungsalgorithmus. Kürzlich (vorletztes Jahr oder so) wurden einige für unsicher erklärt und nach und nach von immer weniger Servern unterstützt. Wenn bei der letzten Serverwartung nun auch der Letzte, den das Fon noch kannte, abgeschaltet wurde, kann der Browser keine Verschlüsselung mehr aushandeln, egal, was die Zertifikate sagen. :(
Benutzeravatar
Fritzler
Beiträge: 12579
Registriert: So 11. Aug 2013, 19:42
Wohnort: D:/Berlin/Adlershof/Technologiepark
Kontaktdaten:

Re: Handhabung von Zertifikaten für SSL-Verschlüsselung?

Beitrag von Fritzler »

Das klingt plausibel:
https://www.ssllabs.com/ssltest/viewCli ... 3.7&key=56

Android 2.3 kann nur bis TLS1.0
Das ist obsolete.
Kevin_B
Beiträge: 330
Registriert: Mo 12. Aug 2013, 21:41
Wohnort: Hanau

Re: Handhabung von Zertifikaten für SSL-Verschlüsselung?

Beitrag von Kevin_B »

Welches Telefon hast denn? Eventuell kann man mit Custom Roms hier noch etwas reißen.
Gernstel
Beiträge: 1297
Registriert: So 11. Aug 2013, 15:36

Re: Handhabung von Zertifikaten für SSL-Verschlüsselung?

Beitrag von Gernstel »

Herzlichen Dank!
Da kann ich ja Zertifikate installieren, bis ich schwarz werde... ;)
Also wird das Gerät sogar noch sicherer, weil inkompatibel.

@ Kevin_B: Ist ein Sony Ericsson St15i. Das kommt nun mehrfach an seine Grenzen. Einmal, weil Akkus NOS (New Old Stock) nach zehn Jahren einfach zu alt sind und damit die Betriebsdauer sinkt. Und dann eben aufgrund des "technischen Fortschritts", hier im Sinne des Abschaltens potentiell unsicherer Verbindungs- bzw. Sicherungsprotokolle. Ganz zu schweigen von Unterstützung von nur GSM und UMTS, dann vermutlich irgendwann fehlenden neuartigen WLAN-Protokollen usw.

Schade. In der winzigen Größe gibt es nichts Vernünftiges mehr.
Benutzeravatar
Fritzler
Beiträge: 12579
Registriert: So 11. Aug 2013, 19:42
Wohnort: D:/Berlin/Adlershof/Technologiepark
Kontaktdaten:

Re: Handhabung von Zertifikaten für SSL-Verschlüsselung?

Beitrag von Fritzler »

Tjo von meinem Milestone musste ich mich ja auch verabschieden.
Man muss sich ja nich jährlich was neues zulegen, aber alle 5-7 is doch vertretbar.

Das mit der Größe is durchaus blöd.
Daher isses nen Motorola One geworden, das is aber auch nich so klein wie ich es haben wollen würde.
Hägar
Beiträge: 53
Registriert: Fr 7. Feb 2020, 12:57

Re: Handhabung von Zertifikaten für SSL-Verschlüsselung?

Beitrag von Hägar »

Gernstel hat geschrieben: Mi 11. Mär 2020, 22:26 Schade. In der winzigen Größe gibt es nichts Vernünftiges mehr.
Wie wäre es damit? https://www.ebay.de/itm/CUBOT-KING-KONG ... Sw1nVeUo7O

Wasserdicht und stoßfest, outdoortaugllich und mit ein wenig suchen auch für 100 Doppelmark zu kriegen. Ich bin zufrieden damit zumal es auch noch 2 SIM-Karten schluckt.
Antworten