Zum Inhalt springen

Fehlende Root-Zertifikate

Version 1.43 von Thorsten Seifert am 2025/11/19 13:08

Verbindungsprobleme zu Diensten und Webseite der Hochschule

Hintergrund

Als Mitglied des DFN (Deutsches Foschungsnetz) beziehen wir seit Mitte 2025 die SSL-Zertifikate, mit denen unsere Dienste und Webseiten abgesichert sind, über den DFN Vertragspartner HARICA (Hellenic Academic & Research Institutions Certification Authority). HARICA setzt dabei konsequent die aktuelle Anforderungen und Richtlinien für SSL-Zertifikate um.

Allen von HARICA ausgestellten Zertifikate liegt ein sogenanntes Root-Zertifikat zu Grunde, mit dem die Vertrauenswürdigkeit der einzelnen Zertifikate Zertifikate für die Dienste bestätigt wird.

Dieses Root-Zertifikat wurde 2021 von HARICA neu erstellt, um den aktuellen Richtlinien für SSL-Zertifikate zu entsprechen. Für die Verteilung von Root-Zertifikaten auf Endgeräte sind allerdings die Hersteller dieser Endgerät, bzw. die Anbieter von Betriebssystemen oder Applikationen verantwortlich.

Das Zertifikat wird von von den jeweiligen Herstellern für ihre Produkte verteilt:

  • Microsoft für Windows
  • Apple für MacOS und iOS
  • Google für Google Chrome und Google Pixel-Geräte
  • Mozilla für Firefox und Thunderbird.
  • etc.

Das Problem

Für Android-Geräte die nicht von Google hergestellt werden, z.B. Samsung, Motorola, Xiaomi, Honor, etc. ist der jeweilige Hersteller für die Betriebssystem-Updates und die Verteilung von Root-Zertifikaten verantwortlich!

Wir mussten leider feststellen, das einige dieser Hersteller die Root-Zertifikate nicht pflegen. Vor allem bei älteren Geräten/Android-Versionen fehlt das aktuelle HARICA Zertifikat aus dem Jahr 2021.

Betroffene Geräte stufen daher die mit aktuellen HARICA-Zertifikaten ausgestatteten Dienste als nicht vertrauenswürdig ein und verweigern die Verbindung.

Auch bei einige Anbietern von Java JDK fehlt dieses Zertifikat.

Was kann ich tun?

Prüfen Sie, ob für Ihr Gerät oder die Anwendung eine Update verfügbar ist und installieren sie dieses. Testen Sie dann erneut, ob eine Verbindung hergestellt werden kann.

Viele Hersteller von Android-Geräten erlauben das manuelle Installieren von Zertifikaten.

Le