Probleme mit Let’s Encrypt Zertifikat auf Android Handys

Ich hatte bei unseren Webseiten vor kurzem das Problem, dass trotz einem ordnungsgemäßen Aufruf der Seiten eine Fehlermeldung auf mobilen Endgeräten mit Android kam. Die Handys haben immer die Meldung geschmissen, dass das genutzte Zertifikat nicht gültig ist und man musste daher immer auf "Ja, ich bin mir absolut sicher, was ich hier tue" klicken, was nicht gerade toll ist und bei Endbenutzern vielleicht zu einer Unsicherheit führt.

Die tl:dr-Variante: Let's Encrypt nutzt ein Zwischenzertifikat, was im Webserver mit ausgeliefert werden muss, danach funktioniert auch der Aufruf auf Android-Geräten :)

Wenn wir uns in einem Browser auf meinem Notebook mal eine unserer Webseiten anschauen, sehen wir die folgenden Zertifikate:

Das markierte "X3"-Zertifikat ist das "Problem", dieses ist auf einem Android-Handy scheinbar nicht hinterlegt und führt zu einer Warnmeldung. Wir nutzen Apache auf unserem Webserver, um WordPress zu betreiben, die folgende Konfiguration sorgt dafür. dass auch die Android-Handys funktionieren:

(...)

SSLEngine on

SSLCertificateFile /etc/letsencrypt/live/<Domain>/cert.pem

SSLCertificateKeyFile /etc/letsencrypt/live/<Domain>/privkey.pem

SSLCertificateChainFile /etc/letsencrypt/live/<Domain>/chain.pem

Include /etc/letsencrypt/options-ssl-apache.conf

(...)​

Was in unserer vorher genutzten Konfiguration fehlte, war die komplette Chain mit der dritten Zeile "SSLCertificateChainFile". Nach einem hinzufügen und einem

service apache2 reload

​passt alles. Danke an Freddy für den Tipp :)

Teilen:

Jan Kappen

Jan Kappen ist ausgebildeter Fachinformatiker in der Richtung Systemintegration. Er hat seine Ausbildung im Sommer 2008 abgeschlossen und arbeitet seitdem bei der Rachfahl IT-Solutions GmbH & Co. KG. Jan Kappen ist unter anderen MCITP Server Administrator, Enterprise Administrator und Enterprise Messaging Administrator 2010 sowie MCTS für System Center Virtual Machine Manager 2008, Windows Server 2008 Active Directory, Windows Server Virtualization und Windows Server 2008 Network Infrastructure. Im April 2015 wurde Jan Kappen im Bereich "File System Storage" für seine Expertise und seine Community-Arbeit mit dem MVP Award von Microsoft ausgezeichnet.

3 Kommentare:

  1. Hi, interessanter Artikel der genau zu dem Problem passt, welches ich auch gerade habe. Die Fehlermeldung tritt nur mobile auf der Unterschied zu deinem Artikel ist der, dass ich einen IIS 8.5 am laufen habe.
    Wie würde da die Korrektur aussehen? Woher bekomme ich eigentlich die Chain.pem… Bei der Zertifikatausstellung bekomme ich genau drei Files: certificate.cer, cA_bundle.cer, private.key… Alle drei benutze ich um daraus ein IIS taugliches . PFX Zertifikat zu generieren und es in IIS zu Importieren.

  2. Moin, ich habe die Kombination IIS (Exchange Server 2010) mit Ubuntu RProxy und Let’s Enrypt in Betrieb. Die Lösung hat funktioniert.
    Danke

  3. Hi,
    noch etwas Recherche zeigt, dass man es heute anders macht:
    http://www.bensprotips.com/2014/04/apache-sslcertificatechainfile-directive-deprecated-sslcertificatefile/

    Also alles in eine Datei und SSLCertificateChainFile raus aus der Config.

    LG
    Micha

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert