pedant
Goto Top

SSL oder Zertifikatsproblem bei Handy?

Hallo,

erst seit relativ kurzer Zeit habe ich bei meinem Handytarif auch eine Datenflat, nicht wegen des Handys, sondern wegen meines neuen Laptops mit Sim-Karten-Slot.
Das brachte mich dazu jetzt auch ein paar bisher ungenutzte Internetdinge in meinem Handy zu konfigurieren.

Im Browser des Handys kann ich auf einige, aber nicht auf alle https-Seiten zugreifen.
Auf mein E-Mail-Account kann ich nur unverschlüsselt zugreifen, was ich so nicht belassen, sondern nur ausprobiert habe.
Ich stelle mir die Frage, ob es an den Zertifikaten liegt oder am SSL oder an beiden oder noch was anderem.

Das Handy ist schon etwas älter. Es ist ein Nokia 6230i.
Raum für Inkompatibilitäten und damit verbundene Fehlerquellen bietet es also sicher reichlich.

http://google.de ist beispielsweise eine https-Seite, die ich im Browser aufrufen kann.
Dabei kommt aber auch zuerst eine Meldung:

Sicherheitsinfo- - - - - - - - - - - - - - -Serverzertifikat ungültigDetails zu Serverzertifikat:Inhaber: Google LLCAussteller: Google Trust ServicesGültig ab: 24.04.2018Gültig bis: 17.07.2018Schlüsselaustausch: RSA, 2048-Bit-Schlüssel (hoch)Verschlüsselung:AES, 128-Bit-SchlüsselHash: SHA1, 160-Bit

Drücke ich dann auf [Forts.] (Fortsetzen), öffnet sich die Seite.

Versuche ich beispielsweise https://administrator.de aufzurufen kommt lediglich die Meldung:
"Verbindung nicht verfügbar" und die Seite wird nicht angezeigt.

Ich hab mir mal die Zertifikate von ein paar Webseiten angesehen.
Die Seiten, die sich letztendlich öffnen lassen, haben alle einen Eintrag bei "Organisation" in ihrem Zertifikat.
Fehlt der Eintrag, kommt nur "Verbindung nicht verfügbar".

Ist das folglich ein "Domain Validation" versus "Organisation Validation" Problem?

Https-Seiten des Hoster meines Mail-Accounts kann ich aufrufen (https://strato.de).
Mein Mailaccount lässt sich aber nicht abrufen, es sei denn ich schalte SSL im Handy ab und nutze die "unerschlüsselten" Ports der Mailserver für's Senden und Empfangen.
Mag es jetzt daran liegen, dass das Handy mit dem Zertifikat es Mailservers ein Problem hat, ähnlich wie beim Browsen oder ist es ein Problem mit dem SSL des Handy?

Ich erwarte, ob des alten Gerätes, jetzt keine konkrete Antwort.
Was ich mir erhoffe wäre ein Tipp, wie ich untersuchen kann, woran es scheitert.
Das Telefon hält sich mit ausführlichen Fehlermeldungen oder gar Logdateien sehr zurück.
Kann ich zuhause sinnvoll irgendwas installieren (unter Windows) und nach außen testweise öffnen, das ich dann versuche von außen mit dem Handy zu erreichen, in der Hoffung serverseitig ein paar Erkenntnisse zu erlangen?
Ich will jetzt auch keine Doktorarbeit daraus machen, das Handy soll primär zum Telefonieren sein, aber etwas Forschungsarbeit würde ich gerne investieren.
Es hat ja durchaus viele nette Features, die ich gelegentlich nutze und wenn Internet und E-Mail auch dazu gehören könnten, wär's mir recht.
(Film- und Fotokamera, Mediaplayer für Musik/Film/Bild, Radio, Diktiergerät, E-Mail und Internet, SMS/MMS, Faxversand, Java-Apps, Sprachsteuerung, Adressbuch, Kalender, Wecker, Terminverwaltung, Bluetooth, Lautsprecher, Modem, SDCard-Steckplatz, austauschbarer Akku, Farbdisplay, Telefon)

Gruß Frank

PS:
Um Euch ein bisschen Schreibarbeit zu sparen poste ich den naheligensten Tipp lieber gleich selbst:
"Kauf Dir ein neues Handy!"

Content-Key: 374373

Url: https://administrator.de/contentid/374373

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: StefanKittel
StefanKittel 19.05.2018 um 00:32:36 Uhr
Goto Top
Hallo,

das ist ja noch ein richtiges Handy.
Finde ich gut. Zumindest zum telefonieren.

https://de.wikipedia.org/wiki/Nokia_6230
"Es kam Mitte 2004 auf den Markt"

SSL basiert auf Stammzertifikaten und CAs die im Browser/Betriebssystem enthalten sind.
Es könnte also hier sein, dass dem Handy die aktuellen einfach fehlen.

Dazu kommen die Verschlüsselungsprotokolle.
https://de.wikipedia.org/wiki/Transport_Layer_Security
Alte Protkolle werden aus Sicherheitsgründen abgeschaltet und das Handy kann die aktuellen ja gar nicht kennen.

Außer Updates vom Hersteller oder ein alternatives Betriebssystem fällt mir nur Fummelkram, wie z.B. eigene Proxy und VPN, ein.

Stefan
Mitglied: falscher-sperrstatus
falscher-sperrstatus 19.05.2018 aktualisiert um 16:04:48 Uhr
Goto Top
Lieber Pendant,

darf ich deinem Namen alle Ehre machen?

Nutze Google! nokia-6230i.helpdoc.net/de/6-men%C3%BCfunktionen/internet-2/browser-sicherheit/zertifikate/ Probier mal darüber die CA Liste einzusehen.

Viele Grüße,

Christian
Mitglied: Pedant
Pedant 19.05.2018 um 15:49:42 Uhr
Goto Top
Hallo,

danke für Eure Antworten.

Zitat von @StefanKittel:
"Es kam Mitte 2004 auf den Markt"
6230 (2004), 6230i (2005)
Ich habe es seit 2006 und seither 24/7 im Einsatz.
Wieso heißt es eigentlich "24/7"?
Ausgeschrieben: 24 Stunden pro 7 Tage, also nur 3,4 Std./Tag.
24x7 wäre hier korrekt.
Ausgeschrieben: 24 Stunden pro Tag an 7 Tagen pro Woche


Zitat von @StefanKittel:
Es könnte also hier sein, dass dem Handy die aktuellen einfach fehlen.
Das ist mehr als wahrscheinlich, aber ist es das, dass manche Seiten und den Mailserver unerreichbar macht?

Zitat von @StefanKittel:
https://de.wikipedia.org/wiki/Transport_Layer_Security
Alte Protkolle werden aus Sicherheitsgründen abgeschaltet und das Handy kann die aktuellen ja gar nicht kennen.
In dem Artikel ist eine schöne Versionstabelle enthalten mit Erscheinungsterminen.
SSL 2.0 erschienen 1995
SSL 3.0 erschienen 1996
TLS 1.0 erschienen 1999
TLS 1.1 erschienen 2006 (April)
TLS 1.2 erschienen 2008
TLS 1.3 erschienen 2018
Ich kann also mit großer Wahrscheinlichkeit davon ausgehen, dass das Telefon mit der Firmware vom 31.03.2006, unter der Bezeichnung "SSL" dann "TLS 1.0" meint und ganz sicher keine höhere Version.

Zitat von @StefanKittel:
Außer Updates vom Hersteller oder ein alternatives Betriebssystem fällt mir nur Fummelkram, wie z.B. eigene Proxy und VPN, ein.
Das Telefon hat nicht ganz die neueste Firmware:
*#0000# => Firmware V 03.80 vom 31.03.2006
Die Neueste ist 03.89, aber die ist auch schon 2007 erschienen.
Ein Firmwareupdate für dieses Telefonmodell ist offiziell auch nur in Nokia-Servicestellen möglich und nicht mit der Nokia-PC-Suite und auch nicht direkt am Telefon.
Ich hab im Internet auf irgendwelchen Seiten ein Flashtool, eine Anleitung und die Firmware gefunden.
Aufgespielt habe ich sie noch nicht und die Quellen sind auch eventuell nicht vertrauenswürdig.
Ob die (kaum neuere) Version 3.89 die Situation verbessern würde, ist auch noch recht fraglich, wobei es ein Upgrade von TSL 1.0 auf 1.1 bedeuten könnte.
Vielleicht versuche ich es mal und dann hoffentlich ohne "Telefon geschrottet" und "PC verseucht".

Ein alternatives Betriebssystem hab ich nicht gefunden.
Über Fummelkram könnte ich mal nachdenken.

Zitat von @falscher-sperrstatus:
Lieber Pendant,
darf ich deinem Namen alle Ehre machen?
Ja, gerne, aber dann bitte nur ein "n" (Pe n dant).

Zitat von @falscher-sperrstatus:
Nutze Google! ... Probier mal darüber die CA Liste einzusehen.
Den Text aus dem Link hatte ich schon in der Bedienungsanleitung gefunden.
Der Text ansich bringt mir aber keine Erkentniss und die aufgezeigten Menüpunkte leider auch nicht.

Benutzerzertifikate:
- leer -
Zertifikate der Zertifizierungsstelle:
- 20 Einträge - (teils abgelaufen, teils noch gültig)
Falls es was bringen könntet, schreib ich sie auch "gerne" ab und poste sie hier.

Bei https://google.de sagt der Browser "Serverzertifikat ungültig".
(Siehe Ausgangspost)
Die Seite lässt sich dennoch öffnen.
Ich kann nicht einschätzen, warum es dort geht und mit anderen Seiten (bspw. administrator.de) nicht.

Ich habe diese Seite gefunden und dort google und administrator geprüft.
Unter "Details" steht jeweils dass TLS 1.0 unterstützt wird.

Ein Unterschied ist:
google = organisationsvalidiertes Zertifikat
administrator = domainvalidiertes Zertifikat

Wie ich Eingangs schon schrieb, macht das den Unterschied aus zwischen Seite kann geladen werden oder nicht. Das ist aber lediglich eine rein statistische Beobachtung mit relativ wenigen Kandidaten.
Ich weiß also nicht, ob das Zufall ist oder tatsächlich ein Grund sein kann.

Für smtp.strato.de ergibt der Test auch TLS 1.0 und organisationsvalidiertes Zertifikat.
Ein Zugriff mit dem Mailclient des Handy ist hier aber nicht verschlüsselt möglich.
Vielleicht fehlt beim Mailzugriff nur die Option [Forts], die beim Browser vorhanden ist?

Ich kenn mich nicht gut damit aus und das Telefon verrät seinen Kummer nicht.

Gruß Frank
Mitglied: falscher-sperrstatus
falscher-sperrstatus 19.05.2018 um 15:55:03 Uhr
Goto Top
Hi Frank/Pedant (pardon, war noch müde und nicht pedantisch genug ;) ),

dann schau mal, wie du aktuelle Root Certificates in das Handy bekommst.

Google: root certificate download

Viele Grüße,

Christian
Mitglied: 136166
136166 19.05.2018 aktualisiert um 16:18:44 Uhr
Goto Top
Installiere die CA Zertfikate und gut is, zumindest bei den Seiten die noch die älteren TLS Versionen anbieten.

Get hold of the certificate you want to install.

For example, this is the certificate used by GMail for its POP access.
Various commonly used Root CA (Certification Authority - such as Verisign, GeoTrust) certificates are available for download on the CA websites.
All common browsers provide functionality to install a new certificate being sent by a website you're accessing. Browsers like Internet Explorer (IE) let you export these installed certificates, too. So, if you're looking at a self-signed certificate, just install it in IE & export it.

Make sure that the certificate is in the DER encoded binary X.509 format (.cer file). If you're not sure, in Windows you could import it through IE and export in this format.

If the certificate is in the Base-64 encoded X.509, the phone just treats it as a normal note & you can't do anything with it. The format is important.

Transfer the certificate to a folder on the phone using the USB cable or Bluetooth software.
Open this folder from Organizer -> File Manager. Click to open the certificate file.
The phone tells you that this is an untrusted certificate & then shows you the certificate. Click on Save.
It asks you for what purposes do you want to use the certificate for. These are called Trust Settings. Select Internet and click OK.

You may want to use it for something else, such as signed software installation. In that case, select the appropriate trust setting.

Confirm once that the trust settings are set properly through Tools -> Settings -> Security -> Certificate Management.


p.s. Schön das sich damit noch einer ins Netz wagt, die Dinger sind kinderleicht zu hacken und zu übernehmen wenn du dich damit im Netz bewegst. Nur eine Frage der Zeit bis sich ein Bot bei dir eingenistet hat und mit deinem Knochen teure Gespräche führt face-wink. Da werd ich doch glat nochmal mein Symbian Tool anwerfen :-P
Mitglied: Pedant
Pedant 19.05.2018 um 17:12:54 Uhr
Goto Top
Hallo,

Zitat von @falscher-sperrstatus:
dann schau mal, wie du aktuelle Root Certificates in das Handy bekommst.

Zitat von @136166:
Installiere die CA Zertfikate und gut is...

gut, jetzt weiß ich schon mal woher ich die Zertifikate bekomme.
Wie und ob ich sie ins Telefon bekomme, muss ich noch zu klären.

*.cer, *.pem, *.p7b im Browser öffnen führt jeweils zu "Dateiformat nicht unterstützt".
Ich werde noch ein paar andere Wege suchen und ausprobieren.
Vielleicht hilt ja auch das erwähnte "Symbian Tool".

Gruß Frank
Mitglied: Pedant
Pedant 22.05.2018 um 16:39:30 Uhr
Goto Top
Hallo,

einen Teilerfolg konnte ich erzielen.

Das "Symbian Tool" habe ich installiert, aber das Nokia 6230i hat kein Symbian Betriebssystem und ist daher inkompatibel. Ob das Tool was genutzt hätte, war so also nicht rauszufinden.
Auf Dateiebene finde ich keinen Weg dem Telefon Zertifikate unterzuschieben.
Sie mir auf's Telefon zu mailen hat auch keinen Erfolg gebracht. Ich werde dann lediglich gefrage wo ich sie speichern möchte (als Datei auf der "Festplatte", aber nicht als Zertifikat in der Zertifikateliste).

Das Problem "Browser" hat sich erledigt, indem ich einen anderen Browser installiert habe.
Ich nutze jetzt Opera Mini und damit kann ich auch https://administrator.de öffnen.
Es gibt keinen Warnung oder Hinweise, es wird einfach die Seite geöffnet.
Ein angenehmer Nebeneffekt ist, dass die Seitendarstellung im "Opera Mini" eine ganz andere Liga ist, im Sinne von Les- und Nutzbarkeit im Vergleich zum vorinstallierten Browser.

Das brachte mich dazu mich auf die Suche nach einem alternative E-Mail-Client zu machen, was sich aber schwieriger gestaltet. Ich habe noch keinen gefunden der mit Verschlüsselung funktioniert, respektive überhaupt welche vorsieht.

Gruß Frank