Skocz do zawartości

Brak https na chrome android


Krzesimierz

Rekomendowane odpowiedzi

Przez chrome oraz wbudowaną przeglądarkę google w telefonie nie łączy przez https, jedynie przez http

 

NET::ERR_CERT_AUTHORITY_INVALID



Ten serwer nie mógł udowodnić, że należy do www.fixitpc.pl. Jego certyfikat bezpieczeństwa nie jest zaufany w systemie operacyjnym tego urządzenia. Może to być spowodowane błędną konfiguracją lub przechwyceniem połączenia przez atakującego.

 

Czyszczenie cache i tryb incognito nic nie zmieniają.

Na przeglądarce firefox w tym samym systemie łączy przez https

 

Android 7.0

Chrome 94

 

Mogę prosić o weryfikację czy to nie wina po stronie certyfikatu?

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

 

Bieżący certyfikat: nie jest "self-signed", pochodzi z zaufanego źródła Let's Encrypt, nie wygasł (data kolejnego odświeżenia: 20 grudnia 2021) a test serwera wykonany z poziomu Qualys SSL Labs zgłasza:

 

Trusted Yes [Mozilla  Apple  Android  Java  Windows]

Handshake Simulation: Android 7.0     RSA 2048 (SHA256)       TLS 1.2 > h2       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384   ECDH secp384r1  FS

 

Jedyne co mi przychodzi do głowy to, że Twój Android próbuje używać starego wygasłego certyfikatu DST Root CA X3, bo pod koniec września Let's Encrypt zmieniło z DST Root CA X3 na ISRG Root X1.

 

DST Root CA X3 Expiration (September 2021)

Certificate Compatibility

Let’s Encrypt’s root certificate has expired, and it might break your devices

 

Cytat

While Android, in Let’s Encrypt’s words, has a “long-standing and well known issue with operating system updates”, the nonprofit has a workaround that might prevent the majority of smartphones from being impacted by the expiry. The organization this year transitioned to its own ISRG Root X1 certificate, which doesn’t expire until 2035. While many Android devices still don’t trust this certificate — namely versions of Android (Nougat) 7.1.1 and earlier — Let’s Encrypt obtained a cross-signature for its own certificate that’s valid for longer than the signing root, meaning most Android devices should remain breakage-free for three more years.
 

Some Android devices may still run into issues, Let’s Encrypt said, and it’s recommending that users running Android (Lollipop) 5.0 install Firefox.
 

“For an Android phone’s built-in browser, the list of trusted root certificates comes from the operating system — which is out of date on these older phones,” Let’s Encrypt explains. “However, Firefox is currently unique among browsers — it ships with its own list of trusted root certificates.”

 

 

Na swoim Androidzie wejdź do bazy certyfikatów w ustawieniach i sprawdź co figuruje w niej. Tu poglądowo z bazy certyfikatów Firefox:

 

DST Root CA X3 (Stary wygasły)

 

cert1.png

 

 

ISRG Root X1 (Nowy)

 

cert2.png

 

Odnośnik do komentarza

Dodam, że z poziomu serwera mam ograniczone pole manewru. IIS obsługuje dwa modele łańcuchów, ale tylko jeden z nich może być aktywny. Na serwerze jest ustawiony łańcuch Modern, co można sprawdzić na stronie Quick Chain Checker:

 

Certificate Chain for www.fixitpc.pl

 

fixitpc.pl ▶ R3 ▶ [ISRG Root X1]

 

Let's Encrypt Modern Chain (May not support some older devices)

 

This Let's Encrypt chain uses the newer ISRG Root X1 root, which is trusted by current operating systems. This chain may cause issues for some old devices, particularly Android 7.0 and lower.

 

Na wszelki wypadek uaktualniłam klienta Let's Encrypt, ale wątpię by to wniosło coś do sprawy. Na urządzeniach nie obsługujących nowego certyfikatu widzę tylko dwa rozwiązania:

 

1. Ręczna instalacja certyfikatu ze strony Let's Encrypt, o ile urządzenie Android to umożliwia.

2. Korzystanie z Firefox, który ma własną bazę certyfikatów aktualizowaną niezależnie od bazy certyfikatów urządzenia.

 

Odnośnik do komentarza
25 minut temu, Krzesimierz napisał:

W tym androidzie nie ma certyfikatu ISRG Root X1, a żeby go dodać do systemu, wyczytałem, że trzeba mieć uprawnienia root (tzw. zrootowany telefon)

 

W kwestii Chrome jest jeszcze nadzieja. Chrome Root Program - Google pracuje nad własną bazą certyfikatów na podobieństwo Firefox, co uniezależni Chrome od baz certyfikatów urządzeń (z wyjątkiem Apple). Wstępna baza certyfikatów figurująca w/w linku zawiera ISRG Root X1. Nie wiadomo jednak w której wersji Chrome zostanie to zaimplementowane.

 

 

Odnośnik do komentarza
  • 10 miesięcy temu...

@Krzesimierz

 

W dniu 15.10.2021 o 17:09, picasso napisał:

W kwestii Chrome jest jeszcze nadzieja. Chrome Root Program - Google pracuje nad własną bazą certyfikatów na podobieństwo Firefox, co uniezależni Chrome od baz certyfikatów urządzeń (z wyjątkiem Apple).

 

Zmiana została dokonana w wersji Chrome 105. Nasz certyfikat ISRG Root X1 jest w natywnej bazie Chrome. Proszę daj znać czy po aktualizacji przeglądarki Chrome na Twoim Androidzie problem już nie występuje.

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...