Frage beantwortet

Warum zeigt derzeit der DB Navigator einen Zertifizierungsfehler?

Sehr geehrtes Team,

ich wollte heute (29.08.18) mein Ticket wie gewohnt über den DB-Navigator mit meinem Android-Smartphone bestellen. Leider zeigt die App auch nach Neustart des Telefons und Neuinstallation der App immer wieder den folgenden Fehler bei der Angebotsauswahl und den Services:

"Auf dem Gerät ist kein gültiges Zertifikat vorhanden, um eine sichere Verbindung aufbauen zu können. Bitte überprüfen Sie Ihre Systemeinstellungen oder aktualisieren Sie Ihr Betribssystem."

Mein Betriebssystem ist für mein Handy das aktuellste: Android 4.4.4

In einem älteren Thread habe ich von der "Android System WebView" App als Lösung gelesen. Diese ist jedoc für meine Version nicht verfügbar.

Am 21.08.18 hat die App auf jeden Fall noch funktioniert. Ob der Fehler durch ein App-Update entstanden ist, kann ich leider nicht sagen.

Haben sie einen weiteren Lösungsvorschlag?

JaTi
JaTi

JaTi

Ebene
0
57 / 100
Punkte
Die Antwort wurde von DB Bahn bestätigt

Hallo JaTi, Vielfahrerin20J und die anderen Teilnehmer*innen in diesem langen Beitrag. Ich danke allen Beteiligten für den engagierten Einsatz zu unserer App DB Navigator. Unsere Kollegen*innen aus der Informationstechnik konnten eine Lösung für den Zertifikatsfehler für das betreffenden Betriebssystem Android ab der Version 4.4 finden:

Am vergangenen Freitag (2. November 2018) wurde uns gemeldet, dass Nutzer*innen mit Android-4.4-Nutzer mit TLS 1.2 dank einer lückenlosen Zertifikatskette – die sowohl unsere Sicherheitsstandards erfüllt und zudem auch von Geräten mit älteren Betriebssystemen akzeptiert wird – nun wieder Tickets buchen und den DB Navigator sowie die mobilen bahn.de-Webseiten in vollem Umfang nutzen können.

Auch zu erwähnen ist, dass die Wagenreihung positiv nachgetestet werden konnte. Die Anpassungen wurden im Hintergrund durchgeführt, sodass Sie keine Änderungen auf Ihren Geräten vornehmen müssen. Unsere Techniker haben mit Hochdruck an der Fehleranalyse und -korrektur gearbeitet.

Wir bedauern, dass die Stellungnahme aus diesem Grund länger auf sich warten ließ, freuen uns jedoch, nun die positive Nachricht mitzuteilen. Viele Grüße aus Berlin /ch

Fanden Sie diese Antwort hilfreich?

Nein (22)

Ja (12)

35%

35% der Personen fanden diese Antwort hilfreich

Weitere Antworten

Benutzerin
Benutzerin

Benutzerin

Ebene
4
5000 / 5000
Punkte

@safr
Wenn Sie die BahnCard zeitnah benötigen: Fordern Sie im Browser die Desktopversion von http://www.bahn.de an. Damit ist der Kauf hoffentlich möglich.

Hallo safr,

meinen Sie mit PIN-Eingabe die PIN zum entsperren des Handys? Dann überprüfen Sie bitte Einstellungen in Ihrem Handy, ob diese noch auf PIN-Eingabe eingestellt sind. /ti

safr
safr

safr

Ebene
0
64 / 100
Punkte

Die Option "Streichen" ist hellgrau, ich kann die Option PIN zum Entsperren meines Handys nicht mehr ausschalten,was extrem nervig ist. Das ist seit ich das empfohlene Digicert heruntergeladen habe.

safr
safr

safr

Ebene
0
64 / 100
Punkte

Ja. Unter Benutzer habe ich gelöscht. Die System Berechtigungen habe ich mir nicht getraut zu löschen - nicht dass dann andere Sachen nicht mehr funktionieren.

Tobida
Tobida

Tobida

Ebene
0
23 / 100
Punkte

Wenn man ein eigenes Root-Zertifikat installiert, verlangt Android den Wechsel auf einen höheren Sicherheitslevel. Der besteht darin, dass der Bildschirm zwingend mit einer PIN geschützt wird. Das verlangt nicht die Bahn-App, und das hat auch nicht die Bahn zu verantworten, sondern Android, und es ist sicherheitstechnisch durchaus sinnvoll.

Ein Rooten des Smartphones ist für die Installation des Zertifikates nicht nötig.

Für die Umgehung dieses PIN-Zwanges hingegen wäre ein Rooten notwendig.

pinarello
pinarello

pinarello

Ebene
0
44 / 100
Punkte

Ist denn denkbar, dass es _irgendwann_ eine Lösung für Android 4.4.2 geben wird? Die Installation des Zertifikats klappt unter 4.4.2 gar nicht (auch nicht mit PIN) und ein Systemupdate ist offenbar auch nicht möglich. Da bliebe nur Smartphoneneukauf... nicht wirklich attraktiv.

safr
safr

safr

Ebene
0
64 / 100
Punkte

Weiß jemand, ob ich unter Sicherheit die Berechtigungen löschen kann und dann zumindest mein Handy wieder ohne Zugangs PIN funktioniert?

PendlerinSeitVielenJahren
PendlerinSeitVielenJahren

PendlerinSeitVielenJahren

Ebene
1
196 / 750
Punkte

@InsideBahn591410,
ich vermute, dass Sie und vielleicht andere schon den Faden hier verloren haben, und dass Sie natürlich schon versucht haben, ihr Betriebssystem zu aktualisieren (Antwort von DB mit dem Kürzel /ni auf Ihre Frage).
Sonst wären Sie ja nicht auf diesen Eintrag hier gekommen, da es ja die unbefriedigende Antwort war, die vom Online-Service gegeben wurde.

Also: Momentan gibt es nur folgende drei offizielle Optionen (Antwort von DB mit dem Kürzel /ti:

  • Update des Betriebssystems, falls durch den Hersteller unterstützt
  • Installation des fehlenden Zertifikats wie hier im Thread schon beschrieben wurde
  • Erwerb eines neuen Geräts mit einer aktuelleren Android-Version

Bei Option zwei auch darauf achten, dass mit dem richtigen Browser heruntergeladen wird. Bitte selbst nachlesen, ich bin auch nur Betroffene.
Bei Option zwei weiß momentan niemand hier in der Community mit Sicherheit, ob die neuen Systemzertifikate gefahrlos zu deinstallieren sind, falls es nichts genützt hat. Die Zertifikate können die Entsperroptionen des Handys in der Sicherheitsstufe heraufsetzen. Auch da bin ich Betroffene.

Option vier - Handy jailbreaken- ist nur was für Könner.

Option fünf - Es geht einfach wieder für ältere Android-Versionen - wird momentan von der DB ausgeschlossen.
Meine Hoffnung stirbt noch nicht, dass die Infos an die Verantwortlichen und das Entwicklerteam kommen, "die TLS 1.2-Unterstützung mit wenigen Android-Befehlen aktiviert" (Tipp aus dem Forum) und/ oder die DB doch noch ein Einsehen hat.

Anonym
Anonym

Anonym

Ebene
0
11 / 100
Punkte

Ich werde beim Download des Zertifikats aufgefordert ein Passwort einzugeben?

kammann
kammann

kammann

Ebene
0
44 / 100
Punkte

Auch ich durfte mich heute eine Stunde mit einem ansonsten voll funktionsfähigem HTC M8 meines Vaters beschäftigen. Android 4.4.1 + Digicert Zertifkat ist installiert, TLS1.2 funktioniert in anderen Apps einwandfrei, ist allerdings nicht per Default aktiviert.
Es fehlt also in der DB-Navigator App nur eine(!) Zeile Sourcecode zur Aktivierung von TLS1.2 für die genutze WebView-Komponente:
s.setEnabledProtocols(new String[] { "TLSv1.2" });

@DB: Können Sie dies bitte nochmal mit Nachdruck an Ihre externen Entwickler weitergeben? Es kann doch nicht sein, dass hier unsinnige (weil unmögliche) Empfehlungen wie ein Update von Android oder von WebView kursieren, wenn es an einer einzigen Zeile seitens der Entwickler der App fehlt...

FranziskaAachen
FranziskaAachen

FranziskaAachen

Ebene
0
14 / 100
Punkte

Bitte, bitte fügen Sie diese eine Zeile Code ein. Es ist doch viel unsicherer, wenn alle Betroffenen auf eigene Faust das Zertifikat herunterladen. Gibt es überhaupt eine Schätzung, wie viele Nutzerinnen und Nutzer betroffen sind?

Zertifikat "DigiCert Global Root G2" löschen in Android 4.4.2:
Einstellungen(Zahnrad)/Allgemein/Sicherheit/Vertrauenswürdige Berechtigungen/Benutzer/
auf "DigiCert Global Root G2" klicken/nach oben rollen/unten rechts Button "Entfernen"

PendlerinSeitVielenJahren
PendlerinSeitVielenJahren

PendlerinSeitVielenJahren

Ebene
1
196 / 750
Punkte

@ EwaSch: Danke für den Hinweis für das Entfernen des Benutzerzertifikats.

Es werden aber auch ein oder mehrere Digicert-Root Systemzertifikate angelegt ( so genau weiß ich das nicht, bin nicht mit einem sonst "nackigen" Handy auf das Problem gestoßen). Diese traut sich momentan niemand zu löschen, falls das Installieren von Digicert-Root-certificates zwar geklappt hat, aber weiterhin keine Ticketbuchung und Comfort - CheckIn etc möglich sind. Und man nun zum Entsperren des Handys im Gegensatz zu vorher PIN oder Passwort eingeben muss und das nicht möchte.

Es besteht die Befürchtung, dass man durchs Entfernen der Systemzertifikate andere Anwendungen oder das Betriebssystem zerschießt

PendlerinSeitVielenJahren
PendlerinSeitVielenJahren

PendlerinSeitVielenJahren

Ebene
1
196 / 750
Punkte

Die weiteren Optionen zur Umgehung des Problems u.a. auf dem Handy fingerbrecherisch über Bahn.de das Ticket buchen und die BuchungsID in den DB Navigator laden; oder eine App eines anderen Anbieters zum Buchen und DB Navigator zur Auskunft benutzen sind nicht befriedigend.

Ich möchte alles weiterhin schnell an einer Stelle von unterwegs erledigen können. Wenn ich privat unterwegs bin und sich meine Pläne ändern. Mit meinem nicht so alten Handy. Mit DBNavigator. Installation des Zertifikats hat bei mir keine Abhilfe geschaffen.

Deshalb auch von mir die große Bitte an die Bahn: diese eine Codezeile zu implementieren ( siehe Hinweis von User kammann). Das kann doch nicht so kompliziert sein und auch mit umfassenden Tests nicht so teuer. Ich bin gehe davon aus, das Entwicklerteam verfügt über ein umfassendes Set an Regressionstests und muss diese auch nicht alle neu programmieren. An dieser Stelle nur ein dezenter Hinweis auf die Kosten anderer Bahnprojekte.
In einem anderen Thread zum Thema war die Schätzung von 50.000 bis 100.000 Betroffenen anhand der Downloadzahlen pro OS in diversen Stores.

Und ich an der Stelle der Bahn wäre nicht sauer, dass die Hinweise und die Lösung aus der Community kamen :-) .

Entärgerin
Entärgerin

Entärgerin

Ebene
0
11 / 100
Punkte

Ich hatte gerade lang und weiligen und völlig inkompetenten Kontakt zu telefonischen Mitarbeitern, von denen mir eine klagte, sie habe auch mein Problem - und das von uns allen hier:
Der DB Navigator verlangt eine neue Zertifizierung oder ein Betriebssystem-Update, was ich beides nicht beibringen kann (Samsung S3 neo, 3 Jahre alt, angeblich kompatibel mit Android 4.4.2.
Seit geraumer Zeit kaum, nach Deinstallation und Neuinstallation gar kein Zugriff mehr möglich.
Vielen Dank, liebe Bahn, für dieses Geschenk!
Ich war vor knapp 4 Wochen in Frankfurt gezwungen, während des Sturmtiefs meine Heimfahrt in Richtung Hannover antreten zu müssen. Das war nicht nur nicht möglich, wir wurden auf dem Bahnsteig schlicht vergessen, Informationen zu unserem Zug oder alternativen Verbindungen wurden weder mündlich, noch per Anzeigentafel gegeben - und das 2 Stunden lang. Nur aufgrund meiner Hartnäckigkeit gelang es, den völlig unangekündigten Zug nach 4.5 Stunden Verspätung noch zu erreichen und mit der letzten Möglichkeit in dieser Nacht nach Hause zu gelangen. Ohne App ist keinerlei sichere Info gewährleistet - wollen Sie partout, dass wir mit dem Auto fahren? Man bot mir allen Ernstes 12 € als 50% vom Fahrkartenpreis als Entschädigung an...
Und die Problemlösung für das Thema DB Navigator wird offenbar lt. Ihren Kommentaren hier im Thread absichtlich ignoriert - aus Sicherheitsgründen vorgeblich.
Die telefonischen Mitarbeiter wiesen darauf hin, ich könne ja ein neues Handy kaufen (ich habe ein für mich neues Handy mit gerade einmal 3 Jahren Lebensdauer), ansonsten müsse ich mich an Google wenden, die Bahn sei "da raus".
Hallo?!?
Sie machen ein schönes neues Update und vergessen dabei Millionen von Kunden, die dadurch die App nicht mehr nutzen können, bauen gleichzeitig so viel Personal ab, dass auf Bahnhöfen bei geringster Störung das Chaos ausbricht und keine Infos mehr verfügbar sind...und sind "da raus"?

Ich bitte alle Teilnehmer, sich in ihren Beiträgen auf das Thema laut Überschrift zu beschränken, um eventuell einer Lösung näher zu kommen. Der Vorwurf, das DB-Personal hätte im Problemfall nicht gleich für jeden Reisenden eine persönliche Lösung parat, ist sowieso abartig.
Zum Thema:
Ab welcher Android-Version funktioniert der DB-Navigator einwandfrei?
Hat der Zertifizierungsfehler überhaupt etwas mit der Umstellung auf TLS 1.2 zu tun?
Nach meiner Beobachtung trat dieser erst ca. ein halbes Jahr später auf.

PendlerinSeitVielenJahren
PendlerinSeitVielenJahren

PendlerinSeitVielenJahren

Ebene
1
196 / 750
Punkte

"Ich bitte alle Teilnehmer, sich in ihren Beiträgen auf... zu beschränken..."
Dann machen auch Sie sich bitte die Mühe, diesen Thread, u.a. mit Link auf https://www.bahn.de/micro/view/tls/index.shtml sowie Fragen, Antworten und Tipps zu lesen. Es gab z.B. Ihren Tipp zum Nur- Benutzerzertifikate- löschen schon mal. Sowie die Antworten auf Ihre Fragen: 1.) Android 5 sicher ohne Zertifikat-Selbstinstallieren 2.) Ja, hat's. Bei Bahn eingehendes TLS nur noch mit Version1.2 und höher seit Juni 2018 akzeptiert für DBNavigator und Bahn.de laut Bahn.

Momentan warten wir auf Rückantwort der Bahn mit Hoffnung auf die momentan einzig mögliche Lösung für alle Betroffenen mittels relativ simpler Programmierung der App.

kammann
kammann

kammann

Ebene
0
44 / 100
Punkte

>Ab welcher Android-Version funktioniert der DB-Navigator einwandfrei?
Ab Android 4.4 ("Kitkat") ist TLS 1.2 standardmäßig aktiviert, weitere Vorraussetzung ist aber, dass das richtige Root-CA Zertifikat installiert ist. Da aber die Gerätehersteller über die Verteilung der Root CA-Zertifikate entscheiden, kann es sein, dass das für den DB Navigator benötigte nicht dabei ist.

>Hat der Zertifizierungsfehler überhaupt etwas mit der Umstellung auf TLS 1.2 zu tun?
Ja, insofern als dass die Fehlermeldung erscheint, wenn nicht TLS 1.2 aktiv *und* Zertifikat vorhanden sind. Somit hat die Bahn zunächst mit der Deaktivierung von TLS 1.0+1.1 alle diejenigen abgehängt, deren "Webview"-Komponente im Telefon (das ist der eingebaute Webbrowser) nicht TLS1.2 aktiviert hat und dann später noch diejenigen, denen das aktuell verwendete Root-Zertifikat fehlt.

Beide Probleme ließen sich zumindest ab Android 4.1("Jelly Bean") leicht beheben, denn dort ist TLS1.2 zwar vorhanden, aber standardmäßig nicht aktiv. Andere Apps - allen voran Googles eigener Chrome-Browser - aktivieren TLS 1.2 einfach, auf diesen Geräten funktioniert dann auch der Fahrkartenkauf per mobilem Browser.

Auch ein fehlendes Zertifikat kann nach nachträglich installieren - bei manchen Geräten fängt man sich dann aber die Notwendigkeit eines Entsperrbildschirms ein. Hintegrund hierfür ist, dass man nachträglich üblicherweise nur private Zertifikate installiert (z.B. für den VPN-Zugang eines Arbeitgebers), die man ohne Entsperrbildschirm einfach kopieren könnte.

Das Zertifikats-Problem könnte die Bahn leicht lösen, indem sie ein neues Zertifikat einer bekannten (also alten) Root-CA nutzen könnte. Dies stellt kein Sicherheitsrisiko dar, denn die Sicherheitslücken bestehten im TLS-Protokoll, nicht in den Zertifikaten.

Ich habe bzgl. Zertifikat aktuell nochmal nachgesehen und demnach verwendet der Fahrkartenshop der Bahn ein Zertifkat namens "DigiCert SHA2 Extended Validation Server CA", welches wiederum von einem "DigiCert High Assurance EV Root CA" abhängt. Beide Zertifikate kann man hier im Original herunterladen: https://www.digicert.com/digicert-root-certificates.htm
Mit diesen beiden Zertifikaten müsste man zumindest Geräte mit Kitkat (z.B. Samsung S3) DB Navigator tauglich machen können.

Weiter oben wird das Zertifikat "DigiCert Global Root G2" empfohlen - woher die Empfehlung stammt weiss ich nicht, evtl. hat die Bahn zwischenzeitlich das Zertifikat getauscht.

dmelcher
dmelcher

dmelcher

Ebene
0
56 / 100
Punkte

Ich wollte nur mal darauf hinweisen, dass 11,6 % aller im Umlauf befindlichen Android-Smartphones Android-Versionen <= 4.4 verwenden (siehe https://de.statista.com/statistik/daten/studie/180113/umf...). Diese 11,6 % hat die Bahn jetzt von der Buchung mit dem DB-Navigator ausgeschlossen.

spanischesdorf
spanischesdorf

spanischesdorf

Ebene
0
10 / 100
Punkte

Wie ist der neuste Stand , DB-Team ? Ich habe immer noch eine App, die ich nicht nutzen kann. Für mich als Vielfahrerin ein ecjtes Problem. Kundenservice in diesem Fall =0.

weltweltwelt
weltweltwelt

weltweltwelt

Ebene
0
33 / 100
Punkte

Es gibt eine sehr einfache Möglichkeit, das Problem zu umgehen: einfach eine der verschiedenen alternativen apps installieren, mit denen man auch Fahrkarten kaufen kann. Der navigator ist da nicht alleine. ..

dmelcher
dmelcher

dmelcher

Ebene
0
56 / 100
Punkte

Hallo weltweit, im Appstore habe ich auf die Schnelle keine Alternative zum DB Navigator zuum Buchen von Fahrkarten gefunden. Hast Du da einen Tipp?

weltweltwelt
weltweltwelt

weltweltwelt

Ebene
0
33 / 100
Punkte

Trainline verkauft Tickets, eigentlich auch besser als der Navigator. Das große Zertifikatsproblem scheinen die nicht zu sehen. Moovel verkauft glaube ich auch.

LaiJ
LaiJ

LaiJ

Ebene
0
99 / 100
Punkte

Ein Nachteil der alterenativen Apps zum Fahrkartenkauf ist, dass sie keine Bonus- bzw Comfortpunkte sammeln.

kabo
kabo

kabo

Ebene
4
5000 / 5000
Punkte

"Ich wollte nur mal darauf hinweisen, dass 11,6 % aller im Umlauf befindlichen Android-Smartphones Android-Versionen <= 4.4 verwenden"
-> Das ist nicht richtig. Es sind mehr.
Die verlinkte Statistik zählt nicht die Handys, sondern die Zahl der Zugriffe auf den Playstore.
Wenn man (realistischerweise) davon ausgeht, dass Handy-Vielnutzer meist ein aktuelles Handy haben, während die Besitzer von älteren Handys überproportional oft zur Gruppe der Wenig-Nutzer gehören, dürfte die Zahl der aktiven Handys mit Android 4.4 und kleiner, deutlich höher als 11,6% liegen.
Eine ganz schön große Kundengruppe, die da von der DB gerade rausgekegelt wird. Und das wo gerade Werbeaktionen bezüglich des DB-Navigators laufen. Man muss sich fragen, wer da nicht aufgepasst hat.