Zum Inhalt springen

Fehlende Root-Zertifikate

Version 3.1 von Thorsten Seifert am 2025/11/19 13:35

Verbindungsprobleme zu Diensten und Webseite der Hochschule

Hintergrund

Als Mitglied des DFN (Deutsches Foschungsnetz) beziehen wir seit Mitte 2025 die SSL-Zertifikate, mit denen unsere Dienste und Webseiten abgesichert sind, über den DFN Vertragspartner HARICA (Hellenic Academic & Research Institutions Certification Authority). HARICA setzt dabei konsequent die aktuelle Anforderungen und Richtlinien für SSL-Zertifikate um.

Allen von HARICA ausgestellten Zertifikate liegt ein sogenanntes Root-Zertifikat zu Grunde, mit dem die Vertrauenswürdigkeit der einzelnen Zertifikate Zertifikate für die Dienste bestätigt wird.

Dieses Root-Zertifikat wurde 2021 von HARICA neu erstellt, um den aktuellen Richtlinien für SSL-Zertifikate zu entsprechen. Für die Verteilung von Root-Zertifikaten auf Endgeräte sind allerdings die Hersteller dieser Endgerät, bzw. die Anbieter von Betriebssystemen oder Applikationen verantwortlich.

Das Zertifikat wird von von den jeweiligen Herstellern für ihre Produkte verteilt:

  • Microsoft für Windows
  • Apple für MacOS und iOS
  • Google für Google Chrome und Google Pixel-Geräte
  • Mozilla für Firefox und Thunderbird.
  • etc.

Das Problem

Für Android-Geräte ist der jeweilige Hersteller, z.B. Samsung, Motorola, Xiaomi, Honor, etc. für die Betriebssystem-Updates und die Verteilung von Root-Zertifikaten verantwortlich!

Wir mussten leider feststellen, das einige Hersteller die Root-Zertifikate nicht pflegen. Vor allem bei älteren Geräten/Android-Versionen fehlt das aktuelle HARICA Zertifikat aus dem Jahr 2021.

Betroffene Geräte stufen daher die mit aktuellen HARICA-Zertifikaten ausgestatteten Dienste als nicht vertrauenswürdig ein und verweigern die Verbindung.

Auch bei einige Anbietern von Java JDK fehlt dieses Zertifikat.

Was kann ich tun?

Zertifikate Prüfen

Prüfen Sie zunächst, ob das HARICA-Root Zertifikat tatsächlich nicht auf Ihrem Gerät vorhanden ist.

Leider unterscheidet sich der Aufbau der Einstellungen und die Namen der Menüpunkte von Hersteller zu Hersteller. Daher können wir hier keine allgemeingültige Anleitung bereitstellen.

Öffnen Sie die Einstellungen Ihres Gerätes

"Sicherheit und Datenschutz" ► "Weitere Sicherheitseinstellungen" ► "Verschlüsselung und Anmeldedaten" ► "Vertrauenswürdige Zertifikate"

Suchen Sie in der Liste nach dem Zertifikat "Hellenic Academic and Research Institutions CA - HARICA TLS RSA Root CA 2021".

Daten des Zertifikats:
Seriennummer: 39:ca:93:1c:ef:43:f3:c6:8e:93:c7:f4:64:89:38:7e
Fingerabdruck (SHA-1): 02:2d:05:82:fa:88:ce:14:0c:06:79:de:7f:14:10:e9:45:d7:a5:6d

Update des Betriebssystems der Anwendung

Prüfen Sie, ob für Ihr Gerät oder die Anwendung eine Update verfügbar ist und installieren sie dieses. Testen Sie dann erneut, ob eine Verbindung hergestellt werden kann.

Manuelles Hinzufügen der Root-Zertifikats

In der Regel erlauben die Hersteller von Android-Geräten das manuelle Installieren von Zertifikaten.

Leider unterscheidet sich der Aufbau der Einstellungen und die Namen der Menüpunkte von Hersteller zu Hersteller. Daher können wir hier keine allgemeingültige Anleitung bereitstellen.

  • Laden Sie zunächst das Root-Zertifikat auf Ihrem Smartphone herunter oder übertragen Sie es z.B. per USB oder Wlan.
  • Öffnen Sie dann die Einstellungen des Gerätes.
  • Exemplarisches Beispiel, an dem Sie sich für Ihr Gerät orientieren können:
    "Sicherheit und Datenschutz" ► "Weitere Sicherheitseinstellungen" ► "Verschlüsselung und Anmeldedaten" ► "Zertifikat von Speicher installieren" ► "CA Zertifikat"
  • Bestätigen Sie mögliche Sicherheitshinweise und wählen das Zertifikat über den Dateimanager aus.