matzewo
Goto Top

Android Zertifikatsproblem

Hey Leute,
folgende Ausgangslage:
Handy: Samsung S22
Netzbetreiber: Telekom

Nach Handy-Wechsel (S22 auf S22) folgendes Phänomen:

Im WLAN (mit nativer IPv4 hinter NAT) ist ein Zugriff per Browser auf alle Seiten möglich.

Per Mobilfunknetz (DS-Lite vermutlich): Fehlermeldung CA Invalid oder Cert-Error.

Jemand eine Idee?

Content-ID: 13391697749

Url: https://administrator.de/forum/android-zertifikatsproblem-13391697749.html

Ausgedruckt am: 27.12.2024 um 18:12 Uhr

Harald99
Harald99 21.01.2024 um 12:26:36 Uhr
Goto Top
Dann zeig mal welche CA da invalid sein soll. (Der Firefox sollte das zeigen können)

Ich rate mal, da ist eigentlich so ein Security-Dings, dass das SSL aufbricht (Proxy).
Matzewo
Matzewo 21.01.2024 um 13:09:42 Uhr
Goto Top
Firefox sagt leider nur Verbindung nicht sicher. Chrome sagt manchmal Verbindung nicht sicher, manchmal CA invalid.
Harald99
Harald99 21.01.2024 um 13:21:35 Uhr
Goto Top
Und den Knopf erweitert hast du nicht??
DivideByZero
DivideByZero 21.01.2024 um 13:23:01 Uhr
Goto Top
Moin,

schau mal in Chrome nach, der zeigt auch die Zertifikatsketten und weitere Details, wenn eine Verbindung als nicht sicher ausgegeben wird. Sonst notfalls auch son eine App als Hilfskrücke: play.google.com/store/apps/details?id=de.guenthers.certcheck&hl=de&gl=US. Die kenne ich allerdings nicht, nur auf die Schnelle gesucht.

Schließe mit @Harald99 an, da kann eigentlich nur lokal auf dem Handy etwas dazwischen hängen, die Telekom hat da keinen allgemeinen SSL-Proxy (dann wäre das Forum ja auch voll davon). Hast Du da irgendwelche Antivirensoftware oder "Firewall" oder so auf dem S22?

Gruß

DivideByZero
Matzewo
Matzewo 21.01.2024 um 13:25:45 Uhr
Goto Top
Es war mal Norten 360 drauf. Auffällig ist, dass per Thetering und WLAN das Problem nicht auftritt. Ich habe ja irgendwie den Verdacht, dass die Kommunikation über ipv6 läuft und das rumzickt...
Matzewo
Matzewo 21.01.2024 um 13:30:08 Uhr
Goto Top
Ich finde erweitert nicht, aber das zeigt er mir an bei wieistmeineip.de:
whatsapp image 2024-01-21 at 13.28.46 (1).
whatsapp image 2024-01-21 at 13.28.46.
Celiko
Celiko 21.01.2024 aktualisiert um 13:37:18 Uhr
Goto Top
Moin,
Scheint mir eher so, dass du über dein Mobilfunknetz die Zertifikate nicht verifizieren kannst.

Kannst du einen Hotspot starten und ein anderes Gerät per WLAN Anmeldung am Hotspot testen lassen, ob es geht?

Dann wäre zumindest das device ausgeschlossen und Telekom für den Fehler verantwortlich 👌

Vg
DivideByZero
DivideByZero 21.01.2024 um 13:35:44 Uhr
Goto Top
Wie sollte das mit ipv6 technisch zu erklären sein?

Aber Du kannst das ja ganz einfach testen, deaktiviere mal ipv6.

Hier die Anleitung für ein S23, Screenshot in Beitrag 12: www.android-hilfe.de/forum/samsung-galaxy-s23-ultra.4146/probleme-mit-mobilen-daten.1063128.html.

Für ein S22 sollte es den Punkt "Zugangspunkt bearbeiten" und dann "APN-Protokoll" an ähnlicher Stelle geben, dort dann das APN-Protokoll auf IPv4 stellen.

Es dürfte wohl eher an Überresten von Norton oder so liegen. Wie hast Du denn das neue durch das alte Handy ersetzt? Datensicherung und Restore?
Harald99
Harald99 21.01.2024 aktualisiert um 13:46:30 Uhr
Goto Top
Scheint das selbe zu kommen, wie ich das habe.
Prüf mal gegen, wenn du über WLAN gehst: Serial und Fingerabdruck
DivideByZero
DivideByZero 21.01.2024 aktualisiert um 13:48:53 Uhr
Goto Top
Da stimmt was nicht, sieht doch eher nach Interception aus. Denn der SHA256 Fingerabdruck des Zertifikats von wieistmeineip.de beginnt mit 1F 67 91 89 E5, der des Public Key mit B2 55 C8 27 36. Die Werte aus Deinem Screenshot sind andere. Prüf das mal mit wieistmeineip.de über eine WLAN Verbindung, ob da das richtige Zertifikat ankommt.

Da schiebt sich bei Dir wohl doch ein Proxy dazwischen.
Harald99
Harald99 21.01.2024 aktualisiert um 13:49:39 Uhr
Goto Top
Zitat von @DivideByZero:

Wie sollte das mit ipv6 technisch zu erklären sein?

Die Seite wird von Amazon-Reverse-Proxies (Cluster) geschützt.
Für ipv6 könnte ein anderer Proxy mit einem anderen Zertifikat antworten...
DivideByZero
DivideByZero 21.01.2024 um 13:50:10 Uhr
Goto Top
Guter Gedanke, also weitersuchen...
DivideByZero
DivideByZero 21.01.2024 um 13:57:24 Uhr
Goto Top
Versuch mal https://freese-im-hafen.de/ oder irgendeine andere kleine Website, bei der die Gefahr von CDNs gering ist. Fingerabdruck des Zertifikats SHA256 ist 42:82:7C:FB:4C:7D:DF:8A:B9:67:FA:C4:F6:32:2C:88:C1:33:56:66:B9:D9:34:2C:DA:7C:F2:EF:FD:22:D6:E2.
Harald99
Harald99 21.01.2024 um 14:13:01 Uhr
Goto Top
Du kannst auch mal diesen Browsertest machen:

https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html

SSL-Labs spuckt übrigens 6 Proxyhost aus, die für wieismeineip.de im Cluster laufen.
Matzewo
Matzewo 21.01.2024 um 16:25:45 Uhr
Goto Top
Wenn ich den APN von IPv4/IPv6 auf IPv4 stelle baut er keine LTE Verbindung mehr auf.
Matzewo
Matzewo 21.01.2024 um 16:34:48 Uhr
Goto Top
Frese im Hafen sagt einfach, wie gerade alle Seiten: Verbindung nicht sicher.

Schalte ich den Hotspot an und nutze ein anderes Device: Gleiche Meldung. Ich kann mir noch nicht mal das Zertifikat anzeigen lassen.

Aktiviere ich das WLAN ist alles gut.

Deaktiviere ich IPv6 ist das Handy offline.
e8b3795b-9d43-42ab-9508-a44445c477ea.jfif
Celiko
Celiko 21.01.2024 aktualisiert um 16:48:05 Uhr
Goto Top
Moin,

Telekom unterbindet dann wohl die Verbindung zu dem OSCP vom Zertifikatsaussteller.
Das ist die Stelle, wo die Zertifizierungsstelle das Zertifikat als valid oder revoked deklariert. (vergleichbar mit CRL)
Wenn diese Verbindung nicht funktioniert sind automatisch die Zertifikate ungültig.

Liest du hier, wie OSCP im Browser für SSL Certs abläuft:

This is what happens when a browser visits an SSL-enabled website:

1: The web server responds by sharing the SSL certificate installed on it.
2: Now that the browser has certificate details, it requests the corresponding certificate authority’s OCSP responder.
3: Now, the OCSP responder gives the response to the browser about whether the certificate is in a valid state or has been revoked.
4: The browser goes ahead with the website if the certificate is found to be valid and displays an error in case if the certificate has been revoked.
Hab ich von hier (Comodo ist ein bekannter Zertifiaktsaussteller):
https://comodosslstore.com/resources/ocsp-ssl-certificates-all-you-need- ...

VG
Matzewo
Matzewo 21.01.2024 um 17:12:32 Uhr
Goto Top
So, nächster Versuch. O2 Sim-Karte mit netpublic. Somit öffentliche IP v4, IP v6 aus. Gleiches Problem....
DivideByZero
DivideByZero 21.01.2024 um 17:18:05 Uhr
Goto Top
Na, dann bleibt es lokal als Problem auf dem Smartphone. Da hängt entweder etwas dazwischen, oder der root certificate Speicher ist defekt oder veraltet oder so etwas in der Richtung.

Ich hatte ja schon gefragt, wie hast Du die Daten übernommen. Wenn das mit einem Backup gut geklappt hat, würde ich jetzt:
  • aktuelles Backup erstellen
  • Gerät auf Werkseinstellungen zurücksetzen
  • ggf. vorsorglich auch die aktuelle Firmware von Samsung über den PC aufspielen

Dann testen.
Matzewo
Matzewo 21.01.2024 um 17:20:08 Uhr
Goto Top
Aso, sorry, das habe ich vergessen (im Kopf schon beantwortet): Per Smart-Switch.

Selbst im Hotspot funktioniert es nicht.
Celiko
Celiko 21.01.2024 aktualisiert um 17:27:04 Uhr
Goto Top
Moin,

bin jetzt verwirrt, warum das mit der O2 SIM ebenfalls nicht funktioniert...
Inwiefern schränkt denn das lokale Gerät den HotSpot Client ein.
Wenn der HotSpot Client ebenfalls ein ungültiges Zertifikat Meldung erhält müsste es vom Netzwerk ausgehend sein...

Funktioniert denn die Telekom Karte auf dem Anderen Gerät? Müsste ja dann funktionieren!

Wenn das jemand aufdröseln kann bin ich mal auf die Ursache gespannt.

VG
Matzewo
Matzewo 21.01.2024 um 17:38:28 Uhr
Goto Top
Ich verstehe es ja auch nicht. Es kann nicht der Netzbetreiber sein, da eine O2 Karte zum gleichen Phänomen führt.

Die Telekom-Karte funktioniert in jedem Gerät.

Ich verzweifle hier.

Bringt es etwas den Zertifikatsspeicher mal zurückzusetzen?
DivideByZero
DivideByZero 21.01.2024 um 17:39:15 Uhr
Goto Top
Zitat von @Matzewo:
Aso, sorry, das habe ich vergessen (im Kopf schon beantwortet): Per Smart-Switch.

Dann prüfe zunächst, ob ein Firmwareupdate fällig ist (mit Smart Switch). ggf. aktualisieren.
Dann erstelle mit Smart Switch ein aktuelles Backup:

Was kann Smart Switch?

Übertragung von Daten zwischen Android-Smartphones
Übertragung von Daten von iOS- zu Android-Smartphones
Erstellen/Wiederherstellen von Daten-Backups auf PC/Mac und Aktualisierung der Smartphone Software/Firmware via PC/Mac
Erstellen/Wiederherstellen von Daten-Backups auf microSD-Karte


Und dann zurücksetzen auf Werkseinstellungen, dann erneut testen.
Falls das nichts bringt, kannst Du ja mit Smart Switch aus dem Backup wiederherstellen.

Ich gehe davon aus, dass das OS auf dem Smartphone das Problem ist.
Hier gibt es mit Telekom mobil auf Samsung Galaxy S23 keine Probleme.

Gruß

DivideByZero
DivideByZero
DivideByZero 21.01.2024 um 17:41:41 Uhr
Goto Top
Zitat von @Matzewo:
Bringt es etwas den Zertifikatsspeicher mal zurückzusetzen?

Warum nicht. Ich würde aber das gesamte OS einmal zurücksetzen, idealerweise eine frische Firmware aufspielen (kennst Du Dich mit Odin aus?), so dass nichts Altes mehr verbleibt. Denn wenn das auf dem alten Gerät lief, auf dem neuen nicht, dann klingt das danach, dass das OS auf dem neuen Gerät das Problem ist. Ist das ein Gebrauchtgerät? Ggf. hat ja auch der Vorbesitzer da etwas aufgespielt, was Du gar nicht haben willst...
Matzewo
Matzewo 21.01.2024 um 18:00:16 Uhr
Goto Top
Ok, wir sind etwas weiter. Die Telekom hatte das Gerät getauscht. Das Gerät was als Austauschgerät angekommen ist war kein neues Gerät sondern eine Retoure... Vermutlich hat die Firmware von dem einen weg....
Celiko
Celiko 21.01.2024 um 18:27:30 Uhr
Goto Top
Moin,

Mir ist gerade eingefallen:
Wenn das Gerät das den Hotspot aktiviert eine Verbindung blockiert, blockiert er es auch auf den Hotspot clients.

Würde mal einen kompletten reset des Gerätes vornehmen vg
Harald99
Harald99 21.01.2024 um 19:13:12 Uhr
Goto Top
Ich glaube nicht, dass das Gerät komplett durcheinander ist.

Der Google Playstore geht doch noch oder?
Matzewo
Matzewo 21.01.2024 um 19:16:15 Uhr
Goto Top
Auch WhatsApp, Facebook und co funktionieren.
Harald99
Harald99 21.01.2024 um 19:26:39 Uhr
Goto Top
Dann dürfte der Zertifikatsspeicher in recht guter Verfassung sein.
Spinnen also nur die Browser.
user217
user217 23.01.2024 um 07:43:16 Uhr
Goto Top
Das muss daran liegen dass das root Zertifikat fehlt. Alternativ benutzt der Browser einen eigenen Zertifikatspeicher in dem das root CA fehlt.
Angeblich kann man das per GoogleUpdatefixen..