ComputerBase
Aktuelles

NET:ERR_CERT_AUTHORITY_INVALID @ Android7

W

WulfmanGER

Commander
Registriert
Juli 2005
Beiträge
2.352
Hallo in die Runde,

ich habe habe ein Samsung Tab S2 mit Android 7. Hier drauf nutze ich Moon+ Reader um meinen Calibre-Server @ Home zu erreichen. Hier kommt aber eine Fehlermeldung. Per PC (mehrere Windows-Systeme; Firefox, Chrome) alles ohne Probleme. Hab dann mal versucht mit dem Tablet und mit dem dortigen Chrome die Seite aufzurufen. Gut - Moon+ Reader und Chrome nutzen als im Hintergrund den gleichen "Fehlerverursacher"....

Ich bekomme im Chrome halt den Hinweis das die Seite nicht sicher sei. Bei Details:
NET:ERR_CERT_AUTHORITY_INVALID

Googlen danach hilft nicht wirklich. Die Tipps sind nicht so hilfreich :(
1) SSLabs bescheinigt mir ein A+ für meine Seite. Einzige Aufälligkeit "Validation error OCSP ERROR: Exception: connect timed out [http://r3.o.lencr.org]" - das lässt sich aber leicht googlen: Ist ein sslabs-Problem dessen Lösung nicht in meiner Hoheit liegt.
2) Ich soll das Zertifikat erneuern: das Zertifikat ist erst letzten Monat erneuert worden (Let's Encrypt).
3) Ich soll den Fehler ignorieren wenn ich mir sicher bin das es ein Fehler ist ... bringt mir nichts. In Chrome kann ich das natürlich machen und komme auf die Seite. Moon+Reader ist das restriktiver ... Fehler = kein Zugriff.
4) ich soll Cache etc. löschen -> bringt auch nichts
5) OS updaten, Browser updaten etc. Versucht - neueres OS gibt es nicht. Browser ist aktuell, Moon+Reader hab ich auch gerade geupdatet. Dazu hab ich den Zertifikatsspeicher unter Android auch aktuallisiert
6) Browser wechseln ... bringt mich nicht weiter, da Moon+Reader an der gleichen Problemquelle wie Chrome hängt und da kann ich nichts ändern...
7) ich soll doch das Zertifikat sauber auf dem Server installieren ... Nur Chrome auf dem Tab meckert. Alles andere macht keine Anstalten. Chrome erkennt übrigens auch das das Zertifikat noch bis August ausgestellt ist ... trotzdem akzeptiert es die Gültigkeit nicht :( [das letzte mal das ich mit Moon auf dem Server war ist vielleicht 3-4 Monate her - also vor dem letzten Zertifikatsupdate ... an der Serverkonfig hab ich hier aber nichts geändert - aktuelles Zertifikat, Serverneustart, fertig - wie seit Jahren....]
8) ich soll das WLAN wechseln .... egal ob WLAN oder LTE ... problem bleibt...

Mehr finde ich nicht wirklich zu dem Problem. Ausser das der Fehler absolut kein Stressthema ist und man ihn recht entspannt angehen und lösen kann ....... merke ich :|

Jemand noch eine Idee?

Grüße
Wulfman

Edit: Moon+ nennt die Fehlermeldung übrigens so: "java.security.cert.CertPathValidatorException: Trust anchor for certification not found" ... sowas hatte ich schon mal mit Moon - da lag es aber wirklich am Zertifikat - es war schlicht abgelaufen ;)
 
Firefox für Android nutzen, das hat nen eigenen Zertifikatsspeicher.

Android 7 ist bei Let's Encrypt nicht mehr supported. Die Zwischenzertifikate sind abgelaufen weil die gewechselt wurden. Android 7 kennt die nicht. Kannst du ganz einfach googlen.
 
oh na klasse :( Dann kann ich Moon+ Reader wegschmeißen da der wohl auf den gleichen Zertifikatsspeicher zugreift :(

Firefox bringt mir hier ja leider nichts :|
 
Du kannst mit etwas Aufwand das ganze bis September hinausziehen, aber das lohnt sich mMn nicht. Da hilft nur eine etwas aktuellere Android >7 Version.
 
Zuletzt bearbeitet:
ja nur die wird von Samsung ja nicht angeboten ;(

Workaround gefunden ... Calibre arbeitet Standardmässig nur per HTTP ... den hab ich halt per ProxyPass durch einen HTTPS-Geschützten Apache geschleift. Im Moon+ Reader jetzt den Calibre-Server direkt angeben - Remote eh immer ein VPN nutze.

Ist aber nervig sowas :( Schade das es Moon+ und mein Comic-Viewer (Moon+ ist nur "downloader" dank guten OPDS-Support) nicht für iOS gibt - würde endlich von diesem Android-Gefrickel wegkommen :(
 
Wulfman_SG schrieb:
würde endlich von diesem Android-Gefrickel wegkommen :(
Zum Vergrößern anklicken....
Android 7 erhält nun mal keinen Support mehr und der wäre nötig, um die Zertifikate aktuell zu halten. A7 ist inzwischen auch schon rd. 5 Jahre alt und da kommen solche Probleme schon mal vor.

Trotzdem sollte es möglich sein, die Zertifikate manuell zu installieren. Bei Interesse kann ich mich noch mal schlau machen deswegen.
 
wenn es ne möglichkeit gibt - wäre das super. Der "offiziele" Verbindungsweg zu Calibre hat nämlich einen Bug - Bilder werden nicht angezeigt ;) ... mit meiner Apache-ProxyPass-Methode hab ich die reinbauen können ... die fehlten mir gestern ein wenig ;)
 
Ich bin doch immer wieder darüber erstaunt, wie und v.a. welche Informationen im Netz für Aufsehen sorgen und welche eben nicht.

Die Let's Encrypt-Zertifikate der Android Versionen unter 7.1.1 sind noch bis 2024 gültig. Weitere Infos hier. Ergänzend ein deutscher Beitrag von heise.de.

@Wulfman_SG Da dein Moon+ Reader trotzdem noch über die Zertifikate meckert, kommt für dich weiterhin nur die manuelle Installation in Frage. Warum es so ist, wird dir nur der Entwickler der App sagen können.
Hier eine Anleitung (inkl. Downloadlink) für die manuelle Installation der neuen Zertifikate ISRG Root X1 und ISRG Root X2.

Bei Fragen oder Problemen einfach melden. ;-)
 
Man kann das Wurzelzertifikat importieren, aber es gibt unter Umständen zwei Probleme. Die Android App nutzt ihren eigenen Zertifikatsspeicher, dann müsste die App aktualisiert werden. Es gibt aber auch Apps, die selbst importierte Wurzelzertifikate einfach ignorieren.
 
Helge01 schrieb:
Die Android App nutzt ihren eigenen Zertifikatsspeicher, dann müsste die App aktualisiert werden.
Zum Vergrößern anklicken....
Die App müsste dazu einen eigenen Browser verwenden. Sie nutzt aber Android WebView und greift daher auf die Zertifikate des Systems zu.

Ob die manuell installierten akzeptiert werden, bleibt abzuwarten. Aber eine andere Alternative wird es nicht geben.
 
siggi%%44 schrieb:
Hier eine Anleitung (inkl. Downloadlink) für die manuelle Installation der neuen Zertifikate ISRG Root X1 und ISRG Root X2.
Zum Vergrößern anklicken....
Hat geklappt - also für Chrome - damit kann ich jetzt meinen Homeserver sauber erreichen.

Hab dann noch diese Aussage gefunden:

Android 7 nutzt standardmäßig nur Systemzertifikate in Apps. Das heißt, falls eine App auf Serverseite Let's Encrypt und nicht explizit Nutzerzertifikate erlaubt wird die Verbindung trotzdem failen.
Zum Vergrößern anklicken....

Trifft leider auf Moon+ zu :(

Löst das https://blog.jeroenhd.nl/article/android-7-nougat-and-certificate-authorities auch dieses Problem?
 
Was ich bei deinem Fall nicht verstehe ist, dass die gesamte Problematik eigentlich nicht bestehen dürfte. Die Zertifikate von Let's Encrypt sind nämlich nicht ungültig geworden, sondern können weiterhin genutzt werden.

Ich habe Root-Zugriff auf meinem Handy und selber etwas mit meinen Zertifikaten experimentiert. Zuerst habe ich einfach das neue Zertifikat ISRG Root X1 gelöscht. Dies wurde dann durch die älteren Zertifikate aufgefangen und ich hatte keinerlei Einschränkungen bei Chrome oder beim Moon+ Reader, denn ich zu Testzwecken installiert habe.

Als nächstes habe ich meine Zertifikate komplett gelöscht und durch ältere ersetzt, die ich aus einer Android 6 Firmware (jetziger Hersteller, aber ein Vorgängermodell) entnommen habe. Auch hier keinerlei Probleme. Habe es in den Einstellungen gecheckt, die alten Zertifikate wurden angezeigt.

Als letzten Schritt habe ich deine Firmware entpackt (sollte zumindest vergleichbar sein):
ro.build.fingerprint=samsung/gts210wifixx/gts210wifi:7.0/NRD90M/T810XXU2DRH1:user/release-keys
Ergebnis: Keinerlei Probleme.

Natürlich habe ich nicht dein Modell, sondern ein Motorola mit A9 benutzt. Aber dennoch, nachvollziehbar ist das Ganze für mich nicht wirklich.
 
siggi%%44 schrieb:
Was ich bei deinem Fall nicht verstehe ist, dass die gesamte Problematik eigentlich nicht bestehen dürfte. Die Zertifikate von Let's Encrypt sind nämlich nicht ungültig geworden, sondern können weiterhin genutzt werden.
Zum Vergrößern anklicken....

Das ganze ist etwas verwirrend, da es mehrere Let’s Encrypt Root CAs und Zwischenzertifikate gibt, die dann auch noch von IdentTrust Quersigniert wurden. Alle haben verschiedene Ablaufzeiten. Dazu kommt das es Zertifikatsspeicher auf der Client und Server Seite gibt. Auch da muss alles passen.

Let’s Encrypt Vertrauenskette

Es ist unter anderem das Zwischenzertifikat Let’s Encrypt Authority X3 am 17.03.2021 abgelaufen, da es von IdenTrust Quersigniert wurde. Sind damit noch Server Zertifikate ausgestellt worden, dann sind die jetzt nicht mehr gültig. Ich nehme mal an, in irgendeiner Form hat das mit dem Problem vom TO zu tun. Er könnte ja mal seinen Calibre-Server mit SSL Labs testen, da würde man vermutlich sehen was nicht stimmt. Ich nehme an das im Server Zertifikatsspeicher nicht alle Let's Encrypt Zwischenzertifikate vorhanden sind.

Normalerweise hätte man längst auf das Let’s Encrypt R3 Zwischenzertifikat umstellen müssen. Das wurde aber auch von IdenTrust Quersigniert und ist dadurch nur bis zum 29.10.2021 gültig. Danach ist auch da Schluss und es wird dann das Let’s Encrypt E1 Zwischenzertifikat werden, was dann nicht mehr Quersigniert ist.
 
Zuletzt bearbeitet:
Ab 04.Mai wurde von Let's Encrypt ja schon umgestellt auf:

Default chain: End-entity certificate ← R3 ← ISRG Root X1 ← DST Root CA X3

Alternate chain: End-entity certificate ← R3 ← ISRG Root X1

(Quelle: letsencrypt.org)

Dadurch sollen Smartphones unterhalb der Version 7.1.1 automatisch bis 2024 weiterhin unterstützt werden.


Hinzu kommt, dass ich ja selber meine Zertifikate durch die Zertifikate des TE komplett ersetzt habe mittels Root. Bei mir gab es weder bei der genannten App noch in Chrome irgendwelche Probleme. Alle Verbindungen waren verschlüsselt.
 
Deswegen vermute ich den Calibre-Server als Übeltäter. :) Da ist was nicht korrekt konfiguriert.
Der TO müsste mal den Server mit SSL Labs prüfen und die Vertrauenskette zeigen.
 
Calibre Nutze ich via Apache über Proxpass. Vllt ist das Problem also hier. Wenn ich die Domain mit SSLabs teste kommt ein A+ raus … sehe da auch nicht wirklich Fehler.

Das ganze hat vor paar Monaten noch funktioniert. Es gab keine Konfigänderung am Apache, kein Update in der Zeit. Nur die Letsencrypt-Zertifikate wurde aktualisiert.

Auch am Tablet hab ich Moon+ erst geupdatet als nichts mehr ging

Moon+ schmeißt ja folgende Meldung raus:"java.security.cert.CertPathValidatorException: Trust anchor for certification not found"

Ich poste später den SSLabs-Report …
 
Hier der Auszug aus SSLabs

1624046009571.png



1624045963267.png

Das DNS CAA scheint wohl ein Bug bei Letsencrypt zu sein


1624046058166.png


1624046074236.png


1624046088462.png


1624046108970.png

[... paar weggelassen - alle grün]
1624046134323.png

Rest: auch grün

1624046169628.png


1624046186602.png


Das sieht für mich alles passend / ok aus... A+ ja da geht es noch besser ;) Aber das sollte doch kein Problem sein ... war es ja bis vor kurzen auch überhaupt nicht...
 
DNS CAA muss man selbst im DNS konfigurieren. Dazu muss man für die jeweilige Domain einen CAA-Record erstellen: 0 issue "letsencrypt.org"

Wie in der letzen Mail von Let's Encrypt geschrieben (leider habe ich sie gelöscht) wurdest du jetzt von DST Root CA X3 auf ISRG Root X1 automatisch umgestellt. ISRG Root X1 ist nicht mehr von IdentTrust Quersigniert.

Deswegen hast du das Problem mit deinem Android. In der Mail stand weiter, dass man das noch bis September als Serverbetreiber hinausziehen kann in dem man weiterhin DST Root CA X3 aktiviert lässt. Das muss man aber unter Umständen so konfigurieren.

Ich habe das so gemacht, deswegen ist bei mir noch die mit IdentTrust Quersignierte CA drin. Damit hat man das Problem aber auch nur bis zum 29.10.2021 aufgeschoben.

Root CA X3.png


Der Import vom ISRG Root X1 Zertifikat auf deinem Android war der beste Weg, kann aber unter Umständen auch zu Problemen führen.

So sieht die Zertifikatskette aus wenn man per openssl s_client den Server abfragt.

alt
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3 verify return:1 depth=1 C = US, O = Let's Encrypt, CN = R3 verify return:1 depth=0 CN = example.com verify return:1 --- Certificate chain 0 s:/CN=example.com i:/C=US/O=Let's Encrypt/CN=R3 1 s:/C=US/O=Let's Encrypt/CN=R3 i:/O=Digital Signature Trust Co./CN=DST Root CA X3

neu
depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3 verify return:1 depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1 verify return:1 depth=1 C = US, O = Let's Encrypt, CN = R3 verify return:1 depth=0 CN = example.com verify return:1 --- Certificate chain 0 s:/CN=example.com i:/C=US/O=Let's Encrypt/CN=R3 1 s:/C=US/O=Let's Encrypt/CN=R3 i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1 2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1 i:/O=Digital Signature Trust Co./CN=DST Root CA X3
 
Zuletzt bearbeitet:
Wulfman_SG schrieb:
Ist aber nervig sowas :( Schade das es Moon+ und mein Comic-Viewer (Moon+ ist nur "downloader" dank guten OPDS-Support) nicht für iOS gibt - würde endlich von diesem Android-Gefrickel wegkommen :(
Zum Vergrößern anklicken....

Du solltest froh sein, dass es sche "Frickellösungen" bei veralteten Androidversionen noch gibt. Bei iOS ist nach Supportende und Zertifikatsablauf wahrscheinlich nix mit Workarounds und dergleichen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

HansOConner
Chrome Adressleiste ausblenden / Android
Antworten
3
Aufrufe
404
HAse_ONE
HAse_ONE
S
Von Android 16 Beta zur 15 Stable funktioniert nicht
Antworten
4
Aufrufe
387
SCHLES1NGER
S
L
Tablet Android bei chrombrowser einfärbige seiten
Antworten
3
Aufrufe
278
Bobmarleyfaruk
Bobmarleyfaruk
M
News Google zur I/O: Android-Geräte sollen mit neuen Funktionen sicherer werden
Antworten
9
Aufrufe
1.286
Seven2758
Seven2758
nlr
News Material 3 Expressive: Android 16 und Wear OS 6 führen neues UI-Design ein
2 3 4
Antworten
66
Aufrufe
5.037
Flutefox
Flutefox

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

Dieser Dialog konnte nicht vollständig geladen werden, eine Zustimmung gilt daher nur vorläufig. Blockiert ein Browser-Add-on Third-Party-Scripte?

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz