- Smartphone ist ein Sony XA1 Plus, Model G3421, mir Android 8.0.0
Die Modelle XA1 und L3 von Sony [1] haben einen Fehler in der Firmware, der dazu führt, dass der HTTP-Client des Betriebssystem keine SSL-Verbindung zu gewissen Servern aufbauen kann, die OCSP Stapling [2] aktiviert haben.
OCSP wird benötigt, um die Gültigkeit eines Zertifikats zu validieren. OCSP Stapling hat gegenüber dem traditionellen OCSP den Vorteil, dass es keine Abfrage beim Zertifikatsherausgeber auslöst. Das für uns besonders wichtig, weil die Information, welche IP-Adressen Threema verwenden, nicht in die Hände von Dritten gehört. Deshalb haben wir die Option auf unseren Servern aktiviert, einschliesslich des Vermittlungsservers für Threema Web.
Nun ist OCSP Stapling eigentlich rückwärtskompatibel. Unterstützt der Client das Protokoll nicht, kann er trotzdem eine Verbindung zum Server aufbauen. Es findet dann einfach keine Validierung des Zertifikats statt. Das läuft problemlos auf tausenden verschiedener Android-Geräte bis runter zu Android 4.1. Nur nicht bei den zwei Sony-Modellen. Die fehlerhaften Modelle «verschlucken» sich beim Handshake (Händeschütteln) mit dem Server und brechen die Verbindung ab.
Für die wichtigsten Funktionalitäten von Threema betreiben wir für diese Handys separate Server-Instanzen, die kein OCSP Stapling aktiviert haben und ein selbstsigniertes Zertifikat verwenden. Dadurch ist eine Nutzung trotz des Sony-Fehlers hinreichend sicher möglich. Bei erweiterten Funktionen wie Web, Calls, Maps und POIs gibt es diese Instanzen aber nicht. Es steht für uns ausser Diskussion, das OCSP Stapling generell zu deaktivieren, da sonst die Privatsphäre aller Nutzer leiden würde.
Wir sind der Meinung, dass der Fehler an der Wurzel, also in der Firmware der Handys behoben werden sollte. Den Entwickler-Support von Sony haben wir bereits kontaktiert, es wäre jedoch hilfreich, wenn die betroffenen Kunden sich ebenfalls beim Support von Sony melden und um Behebung bitten würden. Das würde den Druck auf Sony erhöhen.
Viele Grüsse
Julia
[1] Insgesamt sind uns derzeit 19 Subtypen mit diesem Fehler bekannt
[2] https://de.wikipedia.org/wiki/Online_Ce…otocol_stapling