Probleme mit RapidSSL-SSL-Zertifikaten auf Android und anderen mobilen Geräten

Da schafft man sich als ambitionierter Bürger und Technik-Enthusiast schon SSL-Zertifikate an, um den Zugiff auf die eigenen Daten und Dienste abzusichern und dann das. Rapid-SSL ist ja schon gemeinhin als einer der „Billig“-Anbieter in der Szene der SSL-Zertifikatsanbieter bekannt. Diesen Umstand haben sie insbesondere den erfolgreichen Angriffen auf ihre Zertifizierungsinfrastruktur zu verdanken.

Das ist wohl auch der Grund dafür, das die Linux-Distribution Debian bzw.  auch verwandte Distributionen, sogennante Root und Zwischenzertifikate von Rapid-SSL aus dem Paket ca-certificates entfernt haben. Die Konsequenz daraus ist das bei SSL-Verbindungen, von Diensten wie insbesondere des Webservers Apache, nun die Zertifizierungskette von SSL-Zertifikaten nicht mehr verifizert werden kann und ein eigentlich vollkommen gültiges Zertifikat, bei strenger Prüfung, als ungültig dasteht. Das ist natürlich insbesondere dann blöd, wenn man zum Teil möglichweise größere Geldbeträge für ein Wildcard- SSL-Zertifikat gezahlt hat.

So unteranderem ist dies auch bei dem Standart-Webbrowser auf Android-Smartphones der Fall. Wobei hier der Fehler mit recht kryptischen oder mit wenig hilfreichen Fehlermeldungen auftritt., z.B. das eine gesicherte Verbindung nicht hergestellt werden kann.

Abhilfe ist trivial

Nachdem man intensiver Google bemüht hat, findet man erste Spuren und Hinweise auf die Ursachen. Abhilfe besteht darin die benötigten Zwischenzertifikate wieder an der richten Stelle zentral bereitzustellen, so dass diese an den betroffenen Verbindungsteilnehmern passend zu dem eigentlichen SSL-Zertifikat zur Verfügung gestellt werden können.

Sehr einfach geht das indem gleich ein „Bündel“ mit Rapid-SSL-Chain-Zertifikaten im Verzeichnis /etc/ssl/certs installiert (da wo für gewöhnlich diese Zertifikate liegen sollten) Zusätzlich ist es allerdings notwendig, noch eine Reihe Symlinks mit den IDs der Zerts auf das Bündel zu setzen. Wenn man folgende Befehle hintereinander als Root-User (!) ausführt, dann sollte die Sache schon erledigt sein.

cd /etc/ssl/certs
wget "https://knowledge.rapidssl.com/library/VERISIGN/ALL_OTHER/RapidSSL%20Intermediate/RapidSSL_CA_bundle.pem"
ln -s RapidSSL_CA_bundle.pem 2c543cd1.1
ln -s RapidSSL_CA_bundle.pem 2f2c2f7c.0
ln -s RapidSSL_CA_bundle.pem 7999be0d.1
ln -s RapidSSL_CA_bundle.pem f131b364.0

Damit können dann wieder alle Browser und mobilen Gerätschaften ordentlich auf SSL-gesicherte Dienste zugreifen.

Links

http://stackoverflow.com/questions/7203857/rapidssl-certificate-not-trusted-on-android-tablet

4 Kommentare.

  1. Bei mir ändert sich leider nichts durch diesen workaround. Hat sich da was geändert?

  2. Vielen Dank für diesen Artikel!

    Nach immerhin 6 Monaten allgemeiner Fehlersuche (mal geht’s mal nicht) und 3 Stunden Ärger mit Android war das die Lösung…

  3. Mal sehr gut erklärt. Hat mir sehr geholfen.