Support-Forum

Problem mit unbekannte Zertifikate

Fragen zum anonymen und spurlosen Surfen im Internet. Fragen zur Konfiguration, zum Security Slider und das Tor-Netzwerk.
Hallo und schönen gute Abend

ich habe auf einigen auch wichtigen Internetseiten Zugriffsprobleme durch fehlerhaft erkannte Zertifikate. Dieses ist kein Einzelfall und ich kann diese über die Trutzbox laufend auch nicht beheben.

Der Zugriff erfolgt über Proxymode und selbst bei Slidereinstellung 10 erhalte ich keinen Zugriff.

Ein Beispiel hier ist den Dienst der Post (CH) mit dem Android 11-Handy zu nutzen.

https://service.post.ch

mit der Fehlermeldung

Error: 3074680576:error: 14094416:SSL
routines:ssl3_read_bytes:sslv3 alert certificate
unknown: . ./deps/openssl/openssl/ssl/s3_pkt.c:
1500:SSL alert number 46
3074680576:error:140940ES:SSL
routines:ssl3_read_bytes:ssl handshake
failure: . ./deps/openssl/openssl/ssl/s3_pkt.c:121
7:

Was muss ich tun, um diesen Fehler zu beheben?

Freundlichs Grüessli

peola

Dateianhänge

Bekommen Sie diese Fehlermeldungen auch dann, wenn Sie die gleiche Seite von einem anderen Gerät über die TrutzBox abrufen?

Die Fehlermeldung deutet darauf hin, dass Sie auf dem gerade benutzen Gerät (Android-Smartphone) das TrutzBox-Stammzertifikat nicht, oder nicht richtig installiert haben.
Hier ist beschrieben, wie Sie das Zertifikat installiert können. Je nach Android-Version kann die Menüführung jedoch hiervon abweichen:
https://wiki.trutzbox.de/view/TrutzBox_ ... e_Android
Auf Windows-Rechnern funktioniert es wohl ohne Probleme. Allerdings greife ich unter Windows direkt per Browser auf die Links.
Unter Android wird über Apps auf das Internet zugegriffen. Auch nach einer neuen Integrierung des Rootzertifikates und der Betitelung TrutzBox funktioniert der Zugriff weiterhin nicht.

Was ich noch anmerken kann ist, dass das Zertifikat nur unter WLAN-Anwendung installiert werden kann. Unter VPN und Apps lässt sich das Zertifikat nicht installieren.
Aus ihrem ersten Post dachten wir, es geht um einen Browser-Zugriff auf z.B. https://service.post.ch/ Browser nutzen normalerweise immer das TrutzBox-Stammzertifikat. Aber manche Apps authentisieren die Kommunikation mit ihren Servern direkt. In diesem Fall kann die TrutzBox nicht in den Datentransfer rein schauen.

Welche App funktioniert nicht unter Android?
Bei der App handelt es sich zum Beispiel um Die Post (CH). unter Android 11.
Bitte schauen Sie im Zugriffsprotokoll nach, auf welche Server diese App zugreifen möchte. Welche das genau sind sehen Sie besser, wenn Sie zuvor die Historie löschen.
Dann bei den Server-Zugriffen, bei denen es einen Socket-Fehler oder diesen Zertifikatsfehler gibt, TrutzBrowse deaktivieren.
Der Verlauf nach Start der "Die POST" App sieht wie auf dem Bildschirmausschnitt aus.
31-03-_2021_18-56-57.jpg
31-03-_2021_18-56-57.jpg (551.61 KiB) 10110 mal betrachtet
Dort sehen Sie, auf welche Server die App zugreifen möchte. Neben post.ch will die App auch Daten an google und Samsung weiter geben.

Z.B. sehen Sie in der zweiten Zeile ein Zugriff auf post.ch, bei dem es ein Problem gibt (rotes Dreieck).
Wenn Sie in dieser Zeile auf das TrutzBrowse-Symbol klicken (rotes Oval-Symbol mit 0,1), dann können Sie für *.post.ch TrutzBrowse deaktivieren. Damit sagen Sie der TrutzBox, dass sie Daten an post.ch unverändert weiter geben darf.
Falls die App danach noch nicht funktioniert, dann müssen Sie evtl. für weitere dort aufgeführte Servern Daten frei geben.

Somit kann man Schritt für Schritt die restriktiven Einstellungen der TrutzBox soweit lockern, wie Sie es möchten, bzw. für eine App notwendig ist.

Falls das für Sie zu umständlich ist, können Sie im Menü "Geräte" für das jeweilige Gerät TrutzBrowse komplett deaktivieren. Dann wirkt nur noch der Content-Filter der TrutzBox und wenn dort ein Serverzugriff nicht blockiert wird, greift die TrutzBox nicht weiter in den Datenverkehr ein.

Hier unter https://trutzbox.de/videodokumentation/ in den Videos
"1. Internet-Zugriffe kontrollieren"
"3. TrutzBrowse – TrutzContent"
"4. Smartphone schützen"

gibt es grundsätzliche Erklärungen zu diesem Thema.
Na, vielen Dank.

Nun habe ich meinen eigenen Fehler gefunden.

Im Beispiel Die Post (CH) hatte ich die Slidereinstellung 10 auf die Adresse *.Post.ch.
Slidereinstellung 9 benutzte ich die Adresse www.post.ch.
Nach dem ich die Einstellung für www.post.ch gelöscht habe lief die Verbindung wieder durch.

Somit sollte man wohl auch nachschauen, ob eventuell auch Unterdomänen die Regeln stören könnten.

Damit ist der Fall für mich geschlossen.

Freundlichs Grüessli

peola