SSL-Zertifikat nicht für ältere Smartphones?

[Schumiel]

Hallo,

und zwar bin ich bei 1und1 und haben dort das "SSL-Starter"-Paket vor 2 Wochen beantragt.
Doch dieses SSL-Zertifikat funktioniert auf Smartphones nicht.

Der Support von 1und1 hat mir erklärt, dadurch, dass SSL-Zertifikate auf älteren Smartphones (Android z.b.) nicht mehr funktioniert und auf Dauer nicht funktionieren wird. U.a. hat Symantec es ja abgegeben. Nun, ich musste diesen Argument erstmal akzeptieren, kann mir aber nicht vorstellen, dass Mio. Personen mit älteren Handys ohne SSL abgespeist werden sollen. Ich selbst habe ein S4 Mini.

Es geht um folgende Domains:

Meine Frage an euch ist, stimmt das wirklich, was mir gesagt wurde oder habt ihr weitere Infos dazu?
Was gibt es für Alternativen?

 

[Madman1209]

Hi,

hast du mal eine Beispiel-URL für eine Seite, die mit einem solchen Zertifikat geschützt ist? Und was sind "ältere Smartphones"?

Ich vermute, es handelt sich um kostenlose Let's-Encrypt-SSL-Zertifikate. Die laufen aber ab Android 2.3.6 - also wer ein noch älteres Smartphone nutzt schaut tatsächlich in die Röhre, aber der hat meiner Meinung nach ganz andere Probleme.

Wäre einfacher zu beurteilen, wenn du uns da einen Link bereitstellen kannst, damit man sich das Zert mal anschauen kann.

VG,
Mad

Edit: https://www.handball-vote.de/ wirft mir auch auf dem Desktop etliche Fehler, weil z.B. Bilder mit absolutem Pfad ohne "https" eingebunden sind. Das bitte erstmal fixen!

 

[KillerCow]

Die Frage ist, ist tatsächlich das Zertifikat das Problem oder die beim Webserver konfigurierten TLS Parameter. Beides kann zu Problemen führen.

Auf der zweiten Seite werden offenbar Teile der Seite ohne TLS eingebunden. Das fällt mir (oder besser meinem Browser) zumindest als erstes auf. Das Zertifikat sieht ansonsten auf den ersten Blick gut aus.

 

[d2boxSteve]

Was ältere Smartphones und generell ältere, nichte mehr aktualisierte Betriebssysteme angeht:

Dein Zertifikat wurde von einer CA intermediate (Encryption Everywhere DV TLS CA - G2) ausgestellt die selbst erst am Montag, 27. November 2017, 13:46:40 erstellt wurde.

Was glaubst du wie das CA Zertifikat auf dein Smartphone kommt? Richtig, nie, außer du importierst es selbst.

Bei aktuellen Betriebssystemen passiert das über Updates. Insofern ist die Aussage schon richtig.

 

[Dalek]

Unter der folgenden Adresse gibt es einen SSL Test, der unter anderem auch anzeigt welche Browser funktionieren und welche nicht. Einfach die Domain dort eingeben, und etwas warten:

https://www.ssllabs.com/ssltest/analyze.html

Das Problem wird sehr wahrscheinlich SNI sein, was notwendig ist wenn unter der gleichen IP mehrere Domains mit SSL erreichbar sind. Das unterstützen sehr alte Browser nicht. Die einzige Lösung die ich kenne ist eine eigene IP Addresse für die Seite zu haben, die nicht mit anderen Domains geteilt wird.

 

[Schumiel]

@Madman1209, ich habe handball-vote komplett auf http umgestellt (!) weil viele meine User die https-Seite nicht aufrufen können! Mit UC Browser zum Beispiel kommt nur eine weiße Seite.

Das einzige, was beiden Seiten unterscheidet, ist, das SSL-Zertifikat. Frauenfussball ist von symantec, Handball von enrypting everywhere.
Technisch ist Handball-Vote eine 1zu1 Kopie von Frauenfussball-Vote. Nur die Bilder und Texte haben sich entsprechend der beiden nur dahingehend des Titels geändert.

Was glaubst du wie das CA Zertifikat auf dein Smartphone kommt? Richtig, nie, außer du importierst es selbst.

Den Satz verstehe ich nicht.

 

[BlubbsDE]

Dann hole Dir halt ein weiteres Zertifikat bei 1und1 von Symantec.

 

[Schumiel]

Die bieten kein Symantec mehr an. Der 1und1-Support sagte, dass Symantec alles an Encrytion everywhere abgegeben hat. Er meinte auch, wenn die Symantec-Dinger auslaufen, dass ich dann sowieso das Problem haben werde. Das heißt, alle Seiten sind dann per Ausnahmeregelung zu bestätigen. *Worst Case*

 

[BlubbsDE]

Wenn ich jetzt ein SSL Zertifikat bei meinem 1und1 Hosting Produkt bestelle, dann ist das von Symantec. Verwunderlich die Aussage.

 

[Schumiel]

Ich habe ein Managed Server. Sollte aber kein Unterschied machen.
Woran siehst du das, dass du Symantec bekommst?

Edit:
Anhand der Seite https://ssl-trust.com/ sieht man, dass meine Webseiten unterschiedliches Zertifikat haben.

 

[Hauro]

Symantec hat das Zertifikatsgeschäft an DigiCert verkauft:
DigiCert Closes Acquisition of Symantec's Website Security Business

https://www.ssllabs.com/ssltest/analyze.html?d=www.handball-vote.de&s=217.160.0.120

Zertifikatskette:
DigiCert Global Root G2

Encryption Everywhere DV TLS CA - G2​

www.handball-vote.de​

[TABLE="class: reportTable cert1Block"]
[TR="class: tableRow"]
[TD="class: tableCell tableCellRight"]1[/TD]
[TD="class: tableCell tableCellCenter"] Sent by server[/TD]
[TD="class: tableCell"]www.handball-vote.de
Fingerprint SHA256: 619444619f3671d779cb50c5b39c8dca2e35209835155b5a560cdc731e78ff57
Pin SHA256: 0pgM04TZMofedLt1HhTOvwG2caSf//EubhYfjk3+wKg=
RSA 2048 bits (e 65537) /SHA256withRSA [/TD]
[/TR]
[TR="class: tableRow"]
[TD="class: tableCell tableCellRight"]2[/TD]
[TD="class: tableCell tableCellCenter"] Sent by server[/TD]
[TD="class: tableCell"]Encryption Everywhere DV TLS CA - G2
Fingerprint SHA256: b1ac8cfb181b9c9354e1775fcbdfcfe7898c5cc9a17d76315b57c112eee55234
Pin SHA256: gxeKFFaZ2HFJIsTdTjEl6nVo3ckTCX+qzRMqb9Xoa1w=
RSA 2048 bits (e 65537) / SHA256withRSA [/TD]
[/TR]
[TR="class: tableRow"]
[TD="class: tableCell tableCellRight"]3[/TD]
[TD="class: tableCell tableCellCenter"] In trust store[/TD]
[TD="class: tableCell"]DigiCert Global Root G2 Self-signed
Fingerprint SHA256: cb3ccbb76031e5e0138f8dd39a23f9de47ffc35e43c1144cea27d46a5ab1cb5f
Pin SHA256: i7WTqTvh0OioIruIfFR4kMPnBqrS2rdiVPl/s2uC/CY=
RSA 2048 bits (e 65537) / SHA256withRSA[/TD]
[/TR]
[/TABLE]


https://www.ssllabs.com/ssltest/analyze.html?d=www.frauenfussball-vote.de&s=217.160.0.120

Zertifikatskette:
VeriSign Universal Root Certification Authority

Symantec Basic DV SSL CA - G2​

www.frauenfussball-vote.de​

​

[TABLE="class: reportTable cert1Block"]
[TR="class: tableRow"]
[TD="class: tableCell tableCellRight"]1[/TD]
[TD="class: tableCell tableCellCenter"] Sent by server[/TD]
[TD="class: tableCell"]www.frauenfussball-vote.de
Fingerprint SHA256: 7658f8da4a9d832044e9e9efdfe52d223d6dd0567f4e7ab950552a8f605b1484
Pin SHA256: JmLqr1T6qV6gbkJhHkIFiCV3laRYEE2RwITb39LPCaY=
RSA 2048 bits (e 65537) / SHA256withRSA[/TD]
[/TR]
[TR="class: tableRow"]
[TD="class: tableCell tableCellRight"]2[/TD]
[TD="class: tableCell tableCellCenter"] Sent by server[/TD]
[TD="class: tableCell"]Symantec Basic DV SSL CA - G2
Fingerprint SHA256: dff583e3a1ed35e57d95104817ad823c055fb9071cd400435b5fc74e692081db
Pin SHA256: vJ6JGRfCsYINcfiUwxxg4vmkhmQOTi3jksgxCavebo8=
RSA 2048 bits (e 65537) / SHA256withRSA[/TD]
[/TR]
[TR="class: tableRow"]
[TD="class: tableCell tableCellRight"]3[/TD]
[TD="class: tableCell tableCellCenter"] In trust store[/TD]
[TD="class: tableCell"]VeriSign Universal Root Certification Authority Self-signed
Fingerprint SHA256: 2399561127a57125de8cefea610ddf2fa078b5c8067f4e828290bfb860e84b3c
Pin SHA256: lnsM2T/O9/J84sJFdnrpsFp3awZJ+ZZbYpCWhGloaHI=
RSA 2048 bits (e 65537) / SHA256withRSA[/TD]
[/TR]
[/TABLE]

 

[d2boxSteve]

@Schumiel: damit deinem Zertifikat der Webseite vertraut werden kann muss dein Betriebssystem alle CA Zertifikate "kennen", sprich importiert haben. Nur dann kann verifiziert werden, ja die Webseite ist sicher.

Aktuelle Betriebssysteme haben alle möglichen CA Zertifikate lokal drin, z.B. die von Verisign, .... und eben auch dein Encryption Everywhere.
Fehlt jetzt dieses CA Zertifikat dann kann ein Handy oder alter PC das Zertifikat nicht überprüfen und sagt "ungültig".

Jetzt verständlich?

 

[Schumiel]

Daaaanke. :-) Verstanden. Und das ist wirklich so?

Das würde bedeuten, wenn sich die SSL-Zertifikate aller Webseiten verlängern, dass alle Webseiten als Ausnahme deklarieren muss bzw. bestätigen muss. Das kann keine Lösung sein.
Beim UC Browser ist es sogar so, dass nur eine weiße Seite erscheint, ohne irgendwas. Die User werden ja dann völlig ausgeschlossen. Keine Seite wäre mehr aufrufbar.

 

[Hauro]

Das würde bedeuten, wenn sich die SSL-Zertifikate aller Webseiten verlängern, dass alle Webseiten als Ausnahme deklarieren muss bzw. bestätigen muss. Das kann keine Lösung sein.

Wird ein Zertifikat ungültig, da es zum Beispiel abläuft, muss ein neues Zertifikat ausgestellt und das bestehende Zertifikat ersetzt werden - Behebung der Ursache. ()

www.handball-vote.de[TABLE="class: reportTable"]
[TR="class: tableRow"]
[TD="class: tableLabel"]Valid from[/TD]
[TD="class: tableCell"]Wed, 10 Jan 2018 00:00:00 UTC[/TD]
[/TR]
[TR="class: tableRow"]
[TD="class: tableLabel"]Valid until[/TD]
[TD="class: tableCell"]Sat, 29 Dec 2018 12:00:00 UTC (expires in 11 months and 19 days)[/TD]
[/TR]
[/TABLE]

Das Zertifikat muss bis zum 29.12.2018 ausgetauscht werden, sonst wird beim Aufruf der Seite ein entsprechender Hinweis angezeigt (Das Zertifikat ist am (Datum) abgelaufen).

www.handball-vote.de -> mit Encrypion Everywhere -> läuft auf keinen Handys, zumindestens schreiben mir das viele meiner User

Was für eine Meldung wird angezeigt?
Wahrscheinlich das dem Zertifikat nicht vertraut wird, weil das Ausstellerzertifikat unbekannt ist.

Dem Zertifikat wird nicht vertraut, weil das Ausstellerzertifikat unbekannt ist. Der Server sendet eventuell nicht die richtigen Zwischenzertifikate. Eventuell muss ein zusätzliches Stammzertifikat importiert werden.

Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

Siehe auch:
support.mozilla.org: Sicherheitszertifikate von Webseiten
support.mozilla.org: Was bedeutet „Diese Verbindung ist nicht sicher“?

 

[Schumiel]

Ja, das weiß ich. Darum geht es mir gerade nicht. Mir geht es darum, dass mit der Verlängerung ein aktuelles SSL-Zertifikat eingebunden wird und nicht einfach das bestehende "nur verlängert" wird. Das bedeutet, neues SSL-Zertifikat, dass dann das CA Zertifikat nicht hat. Folge, ich werde mit dem UC Browser aus dem Internet ausgeschlossen.

 

[d2boxSteve]

Ein Verlängern eines Zertifikats bedeutet, es wird mit identischem Inhalt ein Neues für einen neuen Zeitraum ausgestellt.

Ein einmal erstelltes Zertifikat darf sich nicht ändern lassen, nur revoken.

und ja, das dann neu ausgestellte kann durchaus auch schon mit dem "Nachfolger" der CA erstellt sein (und dies muss dann auch wieder bei den Betriebssystemen lokal vorhanden sein).

 

[Schumiel]

d2boxSteve, ok. Wie komme ich mit meinem wohl alten Handy Android 4.4.2 nun an das CA Zertifikat, damit ich das umgehen kann?

 

[Hauro]

Das bedeutet, neues SSL-Zertifikat, dass dann das CA Zertifikat nicht hat. Folge, ich werde mit dem UC Browser aus dem Internet ausgeschlossen.

Es muss zwischen den Zertifikaten untescheiden werden. Machen wir es an einem Beispiel fest:
www.handball-vote.de liegt auf den Servern bei 1&1 und wird hier verwaltet. DigiCert Global Root G2 ist eine Certificate authority (Zertifizierungsstelle) und im Browser hinterlegt. Erst wenn z.B. DigiCert Global Root G2 im Browser bekannt ist, kann die Seite ohne Meldung angezeigt werden. Falls der Browser-Hersteller es nicht über ein Update verteilt, bleibt nur der manuelle Import.

 

[Dalek]

d2boxSteve, ok. Wie komme ich mit meinem wohl alten Handy Android 4.4.2 nun an das CA Zertifikat, damit ich das umgehen kann?

Unter Android 4.4.2 sollten beide Zertifikate funktionieren. Falls du das selbst reproduzieren kannst, poste bitte mal die exakte Fehlermeldung.

 

[Schumiel]

Dalek, ja, ich habe das auch und kann es reproduzieren.

Hier der Screenshot:
https://ibb.co/b7gjnR