Computer

Fehlende SSL-Zertifikate bei älteren Android-Geräten

Veröffentlicht

Kürzlich habe ich meine komplette Mark Knopfler Guitar Website umgestellt auf SSL-Verschlüsselung. Damit ist gemeint, dass jede einzelne Seite verschlüsselt übertragen wird, was man z.B. am „https://“ (statt das normale „http://“) oder an dem Schloss-Symbol in der Adresszeile erkennt.

Google plant nämlich, schon sehr bald derart gesicherte Webseiten im Ranking zu bevorzugen und somit die SSL-Verschlüsselung zum neuen Standard für alle Seiten einer Domäne zu erheben. Bisher wird die SSL-Verschlüsselung bei vielen Websites nämlich nur für Bereiche mit sensiblen Daten benutzt, also z.B. dot, wo sich ein Besucher mit persönlichen Daten einloggt.

Die Umstellung selbst war eigentlich ein Klacks: Außer einer globalen Weiterleitung aller http-Adressen auf https waren zwar noch sämtliche Verweise innerhalb aller Seiten umzuschreiben, die Inhalte per http einbinden, aber auch das war recht schnell erledigt. (Ich benutzte hierfür das Velvet Blues Plug-In für WordPress).

Anschließend war meine gesamte Domäne mittels dem hierfür hinterlegten SSL-Zertifikat „sicher“ und wurde von den diversen Browsern mit dem „grünen Schloss-Symbol“ auch als solche angezeigt.

Nur beim Testen der mobilen Ansicht auf den Handys erlebte ich eine böse Überraschung: Während es mit den Handys aller Familienmitglieder keinerlei Probleme gab, war mein eigenes Handy – ein etwas älteres Modell, nämlich ein Galaxy S4 Mini – gar nicht in der Lage, die Seite überhaupt zu laden. Stattdessen erschien ein Hinweis, dass die Seite nicht vertrauenswürdig sei und ein Betrugsversuch sein könnte, um etwa Kreditkartendaten abzugreifen.

Ein solcher Text warnte mich vor meiner eigenen Seite, die dadurch praktisch nicht mehr besuchbar wurde

 

Die genaue Fehlermeldung war NET:: ERR_CERT_AUTHORITY_INVALID

Besonders ärgerlich: Die schon immer mal genutze Option, derartige Seite dennoch laden zu lassen, ist in der aktuellen Chrome-Version schon etwas versteckter. Und wenn man damit die Seite lud, brauchte man nur auf ein beliebigen Link bzw. Navigationselement zu klicken, etwa im Menü, um den Warnbildschirm erneut aufzurufen. 🙁

Ursachensuche

Normalerweise hat man dank der Ressource Internet ja die Ursache derartiger Probleme schnell ausgemacht und behoben. Aber trotz der konkreten Fehlermeldung fand ich zwar viele Seiten, die über ähnliche Probleme berichteten und verschieden Lösungsmöglichkeiten vorstellten, nur half keine der Methoden (etwa falsche Uhrzeit auf dem Handy korrigieren, ungültige oder falsch eingerichtete Zertifikate auf dem Server korrigieren usw.).

Auch die Vermutung, dass es am Chrome-Browser lag, führte nicht weiter, zumal es mit Chrome auf dem Desktop-PC keine Probleme gab. Zudem stellte ich fest, dass auf meinen Handy zwar Firefox die Seite anzeigen konnte, aber der vorinstallierte Samsung-Browser (das „Internet“-Icon“) ebenso versagte.

Diverse Seiten zum Testen von Zertifikaten, auf denen man nur die Adresse seiner Seite einzugeben hatte, beglückwunschten mich übrigens problemlos zu meiner sicheren Seite, zeigten also alles als einwandfrei an. Das Zertifikat meiner Seite war übrigens von DigiCert, eine recht bekannte und viel benutze Authentifizierungsstelle. Und da es bei meiner „shared“ Website automatisch vom Provider eingerichtet wurde, hätte ich an den einzelnen Konfigurationsparametern auch nicht groß drehen können.

Lösung

Die Lösung ergab sich aus den Details des Zertifikats. Von DigiCert gibt es nämlich, wie sicherlich auch bei den meisten anderen Zertifizierungsstellen, nicht nur einen Typ Zertifikat, sondern etliche. Diese kann man bei DigiCert mit seinem eigenen Gerät ausprobieren, d.h. DigiCert bietet eine Test-Seite für jeden Zertifikatstyp, die man versucht, mit seinem Gerät zu öffnen.

Mein Zertifikat gehörte zur Klasse DigiCert Global Root G2, und wenn ich die Testseite hierfür auf meinem Handy anklickte, erschien prompt die identische Fehlermeldung.

„Etwas Googeln später“ wusste ich, dass auf jedem Handy etliche Zertifikate gespeichert sind. Diese kann man sich auf dem S4 unter Einstellungen/Optionen/Sicherheit/Vertrauenswürd. Berechtigungen anzeigen lassen. Ich fand dort drei Varianten von DigiCert. Bei den neueren Handys waren es hier deutlich mehr, u.a. auch das DigiCert Global Root G2, das auf meinem jedoch fehlte.

Sämtliche Zertifikate lassen sich hier testen und die benötigten direkt auf das eigene Grät herunterladen

Zum Glück konnte man sich auf der oben genannten DigiCert-Seite alle jeweiligen Zertifikate auch direkt downloaden. Ich musste also nur den Download-Link anklicken, das Zertifikat anschließen öffnen und „Installieren“ bestätigen. Schon konnte auch mein Handy sämtliche Seiten laden, die mit diesem Zertifikat gesichert sind.

Ich wusste zwar, dass das veraltete Android 4.4 auf dem S4 als solches nicht mehr weiterentwickelt wird,  aber es hat mich doch überrascht, dass derartige Listen wie die verfügbaren Zertifikate scheinbar nie aktualisiert wurden. Dass heißt also, dass gerade jetzt, wo immer mehr Seiten auf https umgestellt werden, man mit einem nur wenige Jahre alten Gerät zunehmend Probleme bekommen wird, die sich zwar rasch lösen lassen, aber nur wenn man weiß, was zu tun ist.

Ich hoffe daher, dass dieser Artikel dem einen oder anderen noch nützlich sein kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.