Android & root-Zertifikat

[keily24]

Hallo,

ich nutze den Transparent-Modus der Trutzbox, um alle Geräte im Heimnetz mit einzubeziehen.

Es gibt aber Zertifikat-Probleme mit Android-Geräten die eine neuere Firmware besitzen (Android version > 4.4).
(Google hat ab 4.4 was "neues" eingebaut!)
In einem älteren Tablet mit Android Firmware Vers.4.0.4 funktioniert der Import des root-Zertifikates ohne Probleme und alles weitere funktioniert bestes.

Kürzlich hatte ich versucht, das root-Zertifikat in Handys mit jeweils Android vers.5 und auch vers.6 zu installieren. Der Import des Zerfikates funktioniert, es erscheint jedoch unter "Einstellungen" >> "Sicherheit" hinter dem Sicherheits-Button ein rotes Dreieck mit Ausrufezeichen. Dabei ist es egal, ob der Import als "VPN/Apps" oder "WiFi" gesetzt wurde.
In "Zertifikate anzeigen" ist unter "Besitzer" die Installation des Trutzbox-Root-Zertifikates erkennbar.

In der Statuszeile vom Startbildschirm ist ein gelbes Dreieck mit Aufrufezeichen zu sehen.
Es hat folgende Fehlermeldung:
---------------------------------------------------------------------------------------
Netzüberwachung

Dritte können Ihre Netzaktivitäten überwachen, einschließlich Email und Apps ....
Dies wird durch vertrauenswürdige Anmeldedaten ermöglicht, die auf Ihrem Gerät installiert sind.
---------------------------------------------------------------------------------------
Am Schluß steht noch ein Link zu den Vertrauenw.Anmeldedaten und man sieht dann das Trutzbox-Zertifikat.

Durch diesen Fehler werden auf dem Handy alle "https-Seiten" mit Zertifikat-Fehlern aufgerufen, welche man allerdings durch eine Risiko-Übernahme (Ausnahme) doch öffnen kann, aber das "nervt" bei jeder neuen Webseite.

Meine Browser sind Firefox, Opera und Dolphin.

Ich bin verwundert, das diese Fehlererscheinung bisher noch nicht im Comidio-Forum angesprochen wurde !!
Bin ich etwa der erste "Android-Handy-Anwender" der Trutzbox?

mfg

[Foliengriller]

Hallo,
ich nutze nicht den Transparent-Modus sondern den Proxy-Modus, aber ein Root Zertifikat wird ja in beiden Fällen benötigt.
Mit Custom Roms (Cyanogenmod bzw. jetzt LineageOS), basierend auf Android 5.1 bzw. Android 7.1.1, funktioniert das bei mir, jeweils mit dem Chrome-Browser. Ich habe das Zertifikat unter "Einstellungen -> Sicherheit -> Vertrauenswürdige Anmeldedaten -> Nutzer-Zertifikat" hinzugefügt.
Nach Installation des Root-Zertifikates kommt beim Hochfahren einmalig eine Meldung "Die Internetverbindung auf diesem Gerät wird möglicherweise überwacht" (oder so ähnlich), verbunden mit dem Hinweis, dass ein Root-Zertifikat verwendet wird. Danach kann man das Gerät normal verwenden. Bei o.g. Android Version handelt es sich allerdings auch um ein relativ "nacktes" Android. Viele Hersteller versehen das Betriebssystem noch mit weiteren, zusätzlichen Features.

[keily24]

Hallo,

ich bin inzwischen ein Stück weitergekommen.

https-Seiten funktionieren mit Opera und Dolphin, d.h. das root-Zertifikat im Android-System funktioniert.

Nur im Firefox werden alle https-Seiten geblockt (inkl. Zugang zur Trutzbox). Gehe ich auf das Router-WLAN, so funktionieren alle https-Seiten (z.B. die Wikipedia-Seite, Google-Startseite o.ä.). Nur WLAN über die Trutzbox bereiten die Probleme.

Ist das fehlende Zertifikat im Firefox-Browser die Ursache für alle geblockten https-Seiten im Transparent-Modus ?
Weiß jemand wie ich das root-Zertifikat in den Android-Firefox bekomme? Im Android-System ist es installiert.

[comidio support]

Firefox verwaltet seine Zertifikate auf allen Betriebssystemen selbst. Wenn Sie Firefox benutzen, müssen Sie zusätzlich auch noch das Zertifikat in Firefox importieren und bestätigen.

Da Firefox auf Android keinerlei Möglichkeiten bietet Zertifikate zu verwalten, bleibt nur die Möglichkeit, das Zertifikat in Firefox zu downloaden und dabei zu importieren:
Rufen Sie bitte auf dem Android-Gerät mit Firefox https://trutzbox auf, bestätigen Sie manuell das Zertifikat und laden Sie das TrutzBox-Zertifikat mit Firefox herunter. Dabei werden Sie von Firefox gefragt, ob Sie es importieren möchten; das bitte bestätigen und dann den ersten Haken aktivieren.

Dann sollte es funktionieren.

Ihr Comidio Support

[keily24]

Hallo Comidio-Team,


erst einmal herzlichen Dank für den hervorragenden Support.

Die Zertifikat-Installation in Firefox für Android hat entsprechend Ihrem Hinweis geklappt.

Trotzdem bleibt mir, nur mit Firefox, der Zugang zu allen https-Seiten über das "Trutzbox-WLAN" verwehrt.
(Also nur über die Ausnahme-Regelung für jede https-Seite ist eine Verbindung möglich !)

Verbinde ich mich mit dem "Router-WLAN", so sind alle Verbindungen ok. Das zeigt mir, daß das Zertifikat im Firefox funktioniert. Eine Einstellungssache kann es auch nicht sein, da z.B. mit Opera alles funktioniert (Router+Trutzbox)

Mit Firefox für Android b(l)ockt die Trutzbox irgendwie.


mfg

[comidio support]

Wie zeigt sich das "https-Seiten über das "Trutzbox-WLAN" verwehrt"? Gibt es eine Fehlermeldung im Browser, welche?

Sie schreiben "Verbinde ich mich mit dem "Router-WLAN", so sind alle Verbindungen ok", heißt das im Proxy-Mode über den Internet-Router funktioniert es?

Können Sie die Zugriffsversuche im TrutzBox Userinterface unter "Status" sehen?

Ihr Comidio Support

[keily24]

nur zum Verständnis:

Ich nutze die Trutzbox im Transparent-Modus, wie weiter oben bereits beschrieben.
Mit "Router-WLAN" ist gemeint eine WLAN-Verbindung mit dem Router und
mit "Trutzbox-WLAN" ist gemeint eine WLAN-Verbindung mit der Trutzbox.

Als Fehler erscheint die Meldung "Dieser Verbindung wird nicht vertraut ..... usw.
Error-Code: SEC_ERROR_UNKNOWN_ISSUER.

Ich kann die Zugriffsversuche im TrutzBox Userinterface unter "Status" sehen. (s. Anhang)

Sorry, mit dem Anhang einfügen klappt es nicht.

[comidio support]

Wir haben Ihre Mail mit dem Anhang bekommen und führen den Support per E-Mail weiter.

Ihr Comidio Support

[organpipe]

Hallo,
nach einem Handy-Wechsel kann ich das Zertifikat der Trutzbox nicht korrekt nach Android 7.0 importieren. Unter "Vertrauenswürdige Anmeldedaten" erscheint es nur, wenn ich "VPN und Apps" angewählt habe, mit dem Reiter "WLAN" kommt zwar die Meldung, dass es installiert sei, es erscheint aber nicht unter "Nutzer". Danach wimmelt die Log-Datei nur so von "SSL-Fehlern":

Error: 3074459392:error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown:../deps/openssl/openssl/ssl/s3_pkt.c:1472:SSL alert number 46 3074459392:error:140940E5:SSL routines:ssl3_read_bytes:ssl handshake failure:../deps/openssl/openssl/ssl/s3_pkt.c:1210:

oder auch

CONNECT request without any subsequent Requests. This might indicate that the client application refused to connect through proxy

Mit der App CAdroid habe ich dann versucht, das Zertifikat über https://trutzbox direkt zu importieren. Es wird erkannt und ausgewählt, aber folgende Meldung erscheint: "Das CA-Flag dieses Zertifikats ist nicht TRUE, sodass Android dieses Zertifikat nicht importieren kann. Beim Versuch würde zwar keine Fehlermeldung erscheinen, das Zertifikat würde aber nicht in der Liste auftauchen und wäre nicht benutzbar. Abhilfe: Setzen Sie das CA-Flag, wenn Sie ein selbstsigniertes Zertifikat verwenden."

Kann es also sein, dass beim Zertifikat ein Fehler vorliegt, bzw. das fehlende CA-Flag der Grund ist, warum es sich nicht korrekt installieren lässt?

viele Grüße

[comidio support]

Hallo,

es sieht so aus, dass das beobachtete Verhalten normal ist. Die App CAdroid benötigen Sie nicht. Bitte, falls nicht schon geschehen, das Stamm-Zertifikat einfach nur durch anklicken wie im Handbuch beschrieben, in Android importieren. Dann sollten Sie im Browser auf Android keine Fehlermeldungen bekommen.

Das TrutzBox-Zertifikat, das Sie auf Android installieren, funktioniert nur bei einem verschlüsselten Browser-Zugriff auf einen Server. Damit werden Zertifikate, die die TrutzBox generiert, im Browser als gültig erkannt.
Die Zertifikats-Fehlermeldungen die Sie in "Status" sehen, werden nicht von einem Browser-Zugriff, sondern von einer Android-App ausgelöst. Diese App besitzt ein festes Server-Zertifikat und möchte damit eine verschlüsselte Verbindung zum Server aufbauen. Solche verschlüsselte Server-Verbindungen einer App kann die TrutzBox nicht entschlüsseln und somit wird dieser Status-Eintrag generiert. In einem solchen Fall schaltet die TrutzBox diesen Server auf L10, so dass die App in einem zweiten Versuch den Server ohne Kontrolle der TrutzBox problemlos erreichen kann.
Wenn Sie möchten, können Sie dieses automatische Freischalten unter "Filter konfigurieren" abschalten. Dann kann die App allerdings keine Verbindung zum Server aufbauen.

Die "CONNECT request..." Meldung ist normal, siehe Handbuch https://comidio.de/wiki/index.php?title ... x_Handbuch Kapitel "5.3.1 Status":
Eine solche Fehlermeldung wird von einem http-Connect Befehl verursacht. Mit einem http-Connect Befehl möchte ein Client an der TrutzBox vorbei eine Verbindung zum Server aufbauen (tunneln).(https://en.wikipedia.org/wiki/HTTP_tunn ... _tunneling). Da danach aber keine weiteren http-Requests zu diesem Server folgen, wird diese Message generiert. I.d.R. wollte der Client damit lediglich prüfen, ob sich zwischen ihm und dem Server ein Proxy (in diesem Fall die TrutzBox) befindet.

Ihr Comidio Support