Krzesimierz Opublikowano 8 Października 2021 Zgłoś Udostępnij Opublikowano 8 Października 2021 Przez chrome oraz wbudowaną przeglądarkę google w telefonie nie łączy przez https, jedynie przez http NET::ERR_CERT_AUTHORITY_INVALID Ten serwer nie mógł udowodnić, że należy do www.fixitpc.pl. Jego certyfikat bezpieczeństwa nie jest zaufany w systemie operacyjnym tego urządzenia. Może to być spowodowane błędną konfiguracją lub przechwyceniem połączenia przez atakującego. Czyszczenie cache i tryb incognito nic nie zmieniają. Na przeglądarce firefox w tym samym systemie łączy przez https Android 7.0 Chrome 94 Mogę prosić o weryfikację czy to nie wina po stronie certyfikatu? Odnośnik do komentarza
picasso Opublikowano 8 Października 2021 Zgłoś Udostępnij Opublikowano 8 Października 2021 Bieżący certyfikat: nie jest "self-signed", pochodzi z zaufanego źródła Let's Encrypt, nie wygasł (data kolejnego odświeżenia: 20 grudnia 2021) a test serwera wykonany z poziomu Qualys SSL Labs zgłasza: Trusted Yes [Mozilla Apple Android Java Windows] Handshake Simulation: Android 7.0 RSA 2048 (SHA256) TLS 1.2 > h2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp384r1 FS Jedyne co mi przychodzi do głowy to, że Twój Android próbuje używać starego wygasłego certyfikatu DST Root CA X3, bo pod koniec września Let's Encrypt zmieniło z DST Root CA X3 na ISRG Root X1. DST Root CA X3 Expiration (September 2021) Certificate Compatibility Let’s Encrypt’s root certificate has expired, and it might break your devices Cytat While Android, in Let’s Encrypt’s words, has a “long-standing and well known issue with operating system updates”, the nonprofit has a workaround that might prevent the majority of smartphones from being impacted by the expiry. The organization this year transitioned to its own ISRG Root X1 certificate, which doesn’t expire until 2035. While many Android devices still don’t trust this certificate — namely versions of Android (Nougat) 7.1.1 and earlier — Let’s Encrypt obtained a cross-signature for its own certificate that’s valid for longer than the signing root, meaning most Android devices should remain breakage-free for three more years. Some Android devices may still run into issues, Let’s Encrypt said, and it’s recommending that users running Android (Lollipop) 5.0 install Firefox. “For an Android phone’s built-in browser, the list of trusted root certificates comes from the operating system — which is out of date on these older phones,” Let’s Encrypt explains. “However, Firefox is currently unique among browsers — it ships with its own list of trusted root certificates.” Na swoim Androidzie wejdź do bazy certyfikatów w ustawieniach i sprawdź co figuruje w niej. Tu poglądowo z bazy certyfikatów Firefox: DST Root CA X3 (Stary wygasły) ISRG Root X1 (Nowy) Odnośnik do komentarza
picasso Opublikowano 8 Października 2021 Zgłoś Udostępnij Opublikowano 8 Października 2021 Dodam, że z poziomu serwera mam ograniczone pole manewru. IIS obsługuje dwa modele łańcuchów, ale tylko jeden z nich może być aktywny. Na serwerze jest ustawiony łańcuch Modern, co można sprawdzić na stronie Quick Chain Checker: Certificate Chain for www.fixitpc.pl fixitpc.pl ▶ R3 ▶ [ISRG Root X1] Let's Encrypt Modern Chain (May not support some older devices) This Let's Encrypt chain uses the newer ISRG Root X1 root, which is trusted by current operating systems. This chain may cause issues for some old devices, particularly Android 7.0 and lower. Na wszelki wypadek uaktualniłam klienta Let's Encrypt, ale wątpię by to wniosło coś do sprawy. Na urządzeniach nie obsługujących nowego certyfikatu widzę tylko dwa rozwiązania: 1. Ręczna instalacja certyfikatu ze strony Let's Encrypt, o ile urządzenie Android to umożliwia. 2. Korzystanie z Firefox, który ma własną bazę certyfikatów aktualizowaną niezależnie od bazy certyfikatów urządzenia. Odnośnik do komentarza
Krzesimierz Opublikowano 15 Października 2021 Autor Zgłoś Udostępnij Opublikowano 15 Października 2021 W tym androidzie nie ma certyfikatu ISRG Root X1, a żeby go dodać do systemu, wyczytałem, że trzeba mieć uprawnienia root (tzw. zrootowany telefon) Obecnie problem dalej występuje. Trzeba będzie używać firefox. Dziękuję za wyjaśnienia i sprawdzenie certyfikatu po drugiej stronie. Odnośnik do komentarza
picasso Opublikowano 15 Października 2021 Zgłoś Udostępnij Opublikowano 15 Października 2021 25 minut temu, Krzesimierz napisał: W tym androidzie nie ma certyfikatu ISRG Root X1, a żeby go dodać do systemu, wyczytałem, że trzeba mieć uprawnienia root (tzw. zrootowany telefon) W kwestii Chrome jest jeszcze nadzieja. Chrome Root Program - Google pracuje nad własną bazą certyfikatów na podobieństwo Firefox, co uniezależni Chrome od baz certyfikatów urządzeń (z wyjątkiem Apple). Wstępna baza certyfikatów figurująca w/w linku zawiera ISRG Root X1. Nie wiadomo jednak w której wersji Chrome zostanie to zaimplementowane. Odnośnik do komentarza
picasso Opublikowano 14 Września 2022 Zgłoś Udostępnij Opublikowano 14 Września 2022 @Krzesimierz W dniu 15.10.2021 o 17:09, picasso napisał: W kwestii Chrome jest jeszcze nadzieja. Chrome Root Program - Google pracuje nad własną bazą certyfikatów na podobieństwo Firefox, co uniezależni Chrome od baz certyfikatów urządzeń (z wyjątkiem Apple). Zmiana została dokonana w wersji Chrome 105. Nasz certyfikat ISRG Root X1 jest w natywnej bazie Chrome. Proszę daj znać czy po aktualizacji przeglądarki Chrome na Twoim Androidzie problem już nie występuje. Odnośnik do komentarza
Krzesimierz Opublikowano 15 Września 2022 Autor Zgłoś Udostępnij Opublikowano 15 Września 2022 Problem zanikł, tan sam telefon w tej samej konfiguracji łączy przez HTTPS bezpiecznie. Certyfikat rozpoznaje poprawnie. Odnośnik do komentarza
Rekomendowane odpowiedzi