Baltimore CyberTrust (...und Android)

Oft kümmert man sich nicht um die komplette Zertifikatshierarchie, da die aktuellen Root Zertifikate durch regelmäßige Updates des Betriebssystems als gegeben betrachtet werden.

Doch die Verteilung der CA / Root CA ist nicht auf allen Systemen gleich und bei einigen Systemen ist der Prozess der automatischen Aktualisierung so offenbar überhaupt nicht vorgesehen.

Konkret bestand das Problem, dass in einer Android 2.1 Umgebung auf eine SSL geschützte Ressource zugegriffen werden sollte. Dies funktionierte bisher ohne Einschränkungen, doch mit Erneuerung des Zertifikats wurden plötzlich keine SSL Verbindungen mehr aufgebaut.

Die Ursache war die neue Root CA: Baltimore CyberTrust, die u.a. von der T-Systems International GmbH genutzt wird, welche wiederum das betroffene Zertifikat ausstellte.

Nun gibt es die Möglichkeit über entsprechende Anwendungen diese Zertifikate auch unter Android 2.1 zu installieren, jedoch kann dies in der Regel nicht dem Endnutzer aufgetragen werden.

Für die Android 2.1 Anwendung besteht nun die Möglichkeit entweder nur noch ab Android 2.3 zu laufen oder aber die entsprechenden Zertifikate über einen eigenen Keystore bereitzustellen. (Theoretisch wäre es natürlich auch möglich einen blinden TrustManager zu implementieren, welcher die Zertifikate komplett überflüssig macht. Davon sei aber abgeraten.)

Wer in den Nachrichten ein bisschen auf die Zertifizierungsstellen und deren aktuellen Probleme geachtet hat, wird mir sicher zusammen, dass Android bzgl. des Zertifikatsmanagements doch etwas benutzerfreundlicher werden sollte.

Links

Anleitung zur Erstellung eines eigenen Android Keystore auf sweo.de

Google Code: Baltimore CyberTrust Issue