Till senaste kommentaren

Fördjupande dialog om certifikat

Tråden är avknoppad från mer generell felsökning här:
SR Play hänger sig på äldre Android - Forum för teknisk support - Sveriges Radio

---------


Hej Annika

Någon ansvarig mjukvaruarkitekt eller ledande utvecklare får gärna kontakta mig så kanske vi kan lösa det.

Finns det någon blog eller artikel där de underliggande tekniska problemen med certifikat beskivs för oss som har sakkunskap och är nyfikna på hur det kunnat hanteras som det gjort?

Jag är en av de som återanvänt äldre Android tablet som mediaspelare kopplade till förstärkare i kök och vid min arbetsstation.

Att starta en webbläsare på en äldre enhet kan vara nästan ogörbart i dagens läge när utvecklare tenderar att inte alls optimera sin kod utan antar att det finns obegränsad processorkraft och gigabyte RAM-minne. När jag laddear https://sverigesradio.se på mina tablet i Chrome så visas inga bilder och inget fungerar.

Rotcertifikatet DigiCert Global Root G3 är giltigt 2013-08-01 till 2038-01-15.
Certifikatet som sverigesradio.se är direkt underställt är giltigt till 2031-04-14.
Samma gäller för api.sr.se.

Inget av dessa är certifikat med https://letsencrypt.org/ som certificate authority (CA) så kanske är det att du refererar till ett certifikat som använts för att signera appen?

Var kan jag ladda ner det certifikat som saknas från så att jag kan testa att installera det manuellt?



Lars (Uppdaterad )

Kommentarer

  • Hej Lars!
    Någon ansvarig mjukvaruarkitekt eller ledande utvecklare får gärna kontakta mig så kanske vi kan lösa det.
    Jag ser till att tussa ihop dig med rätt kolleger, men börjar med att svara själv.

    Vilken fantastisk möjlighet för oss, med en lyssnare som använder en äldre Android-enhet och har teknisk kompetens. Många av oss som arbetar med tekniken på SR har själva äldre Android-prylar i något skåp, men om de inte har använts på länge, är det ju svårt att veta vilka problem som är nya.
    När jag laddar https://sverigesradio.se på mina tablet i Chrome så visas inga bilder och inget fungerar.
    Vad är det för version av Android? Om du har Android 7 eller lägre så är certifikatet huvudmisstänkt, men det finns fler problem!

    Vid CDN-bytet uppstod även problem med att vi vår tidigare adress https://sverigesradio.se ersattes av https://www.sverigesradio.se/ Det är en förändring som på pappret ska gå helt smärtfritt, allt ska pekas om, men i praktiken finns det länkar i olika system som inte låter sig pekas om (eller har redirectats redan och inte kan göra det för många gånger) samt en del nätverksrelaterade följdproblem, se här:
    Android: funkar över mobilnätet men inte över wifi

    Nätverksproblemen verkar lösa sig för de flesta om de startar om routern genom att dra ur strömsladden och vänta minst 15 sekunder innan de sätter i sladden igen. Testa gärna om detta påverkar ditt problem.

    Se även hur det funkar om du slänger in www innan sverigesradio.se. Jag är även nyfiken på hur vår sajt funkar i en äldre Android om du börjar adressen med httpistället för https. (I mina nyare enheter styrs jag över till https. (Går nog att köra över., men inte på den SR-dator jag testat på)
    Finns det någon blog eller artikel där de underliggande tekniska problemen med certifikat beskivs för oss som har sakkunskap och är nyfikna på hur det kunnat hanteras som det gjort?
    Det finns ingen blogg från Sveriges Radios utvecklare. Detta forum, i praktiken jag, är den viktigaste länken mellan lyssnare och utvecklare. Jag är så öppen jag kan vara, men inte insatt i bakgrunden till alla tekniska val. Jag vill kunna skriva utan att fundera över vad som är företagshemligheter, kan blotta svagheter i våra säkerhetssystem eller medföra juridiska problem. Att inte ha full insyn i allt, överallt, underlättar. (Eller också är det vad jag skyller på för att slippa sätta mig in i allt ...)
    Inget av dessa är certifikat med https://letsencrypt.org/ som certificate authority (CA) så kanske är det att du refererar till ett certifikat som använts för att signera appen?
    Intressant. Egentligen ska detta certifikat inte alls användas för sajt eller webb, DigiCert ska ersätta det. Dessutom har några lyssnare med Android 7 faktiskt kunnat använda vår sajt på Chrome, vilket de nog inte bör ha kunnat göra om Let's Encrypt (nedan kallat LE) används. Behöver undersökas vidare!

    Jag vet alltså inte hur LE kommit in i bilden igen (det tar jag reda på), men både apputvecklare och andra tekniker delar min uppfattning att felen har med LE att göra. Detta bekräftas genom att jag har hjälpt lyssnare att ladda hem och installera nya rot-cert:Går det att göra på samma sätt med Android?

    Let's Encrypt skriver annars om problemet här:
    Shortening the Let's Encrypt Chain of Trust

    Ett stycke på den sidan handlar om äldre Android-enheter och där nämns inte möjligheten att ladda hem eget cert, utan endast att använda Firefox:
    If you use Android 7.0 or earlier, you may need to take action to ensure you can still access websites secured by Let’s Encrypt certificates. We recommend installing and using Firefox Mobile, which uses its own trust store instead of the Android OS trust store, and therefore trusts ISRG Root X1.
    Som sagt, otroligt värdefullt att få hjälp av dig, så jag kommer att ge din adress [bortredigerad del av text] till mina kolleger.

    Dessutom undrar jag:
    1. Vilken version av Android är det?
    2. Har du samma problem med följande URL:er?
      - https://www.sverigesradio.se/
      - http://www.sverigesradio.se/ 
    3. Påverkar brutal omstart av routern ditt problem?
    4. Kan du återskapa problemet på annat nät (t ex dela nätverk från mobilen)?
    Annika Webbmaster

  • > Vad är det för version av Android?
    På min enhet med Android 5.1.1:
    - Det fungerar inte att spela upp program med Sveriges Radios app.
    - Chrome gör omstyrning till https://www.sverigesradio.se för samtliga tre http://sverigesradio.se https://sverigesradio.se och http://www.sverigesradio.se
    - Chrome visar inga bilder.

    På min enhet med Android 7.1.1 fungerar det som förväntat.
    - Sveriges Radios app kan spela program.
    - Chrome gör ingen redirect till www.
    - Bilder visas.
    - Chrome stödjer att se att DigiCert används.

    Jag vill påminna om att grundproblemet var att appen för sveriges radio inte längre spelar upp valda program och direktsändningar på äldre Androidenheter, inte något om hur webbläsare beter sig.

    > https://sverigesradio.se ersattes av https://www.sverigesradio.se/
    Ja, det sker och kan vara en rewrite regel eller liknande i konfigurationen på den CDN ni använder.

    Lite fakta:
    - Ingen certifikatvarning visas i webbläsaren Chrome på denna andoidenhet
    - Certifikatinfon när jag tittar i Chrome på datorn visar med tydlighet att det är certifikat från DigiCert som används, inte något Let's Encrypt, så det känns som ett villospår. Den utförliga diskussionen tar jag gärna när rätt person kontaktar mig direkt, inte i ett publikt forum.

    Bilder på sverigesradio.se laddas från https://static-cdn.sr.se/och den sajten har, märkligt nog, en annan certifikatkejda.


    Sverigesradio.se enligt https://web.archive.org/

    sr.se enligt https://web.archive.org/


    Hur kommer det sig att ni inte använder sverigesradio.se rakt av och på så viskan ha ett windcardcertifikat som även täcker CDN?
    Det verkar som att både CDN och API lever kvar i sr.se, som väl skrotades för många år sen externt.
    Därtill är det udda att sverigesradio.se OCH api.sr.se båda använder DigiCert men varför har ni då klyddat till det med certifikat som täcker er CDN?

    Android: funkar över mobilnätet men inte över wifi
    Detta är inte tillämpligt i mitt fall då plattan bara har WiFi.

    > Nätverksproblemen verkar lösa sig för de flesta om de startar om routern genom att dra ur strömsladden och vänta minst 15 sekunder innan de sätter i sladden igen. Testa gärna om detta påverkar ditt problem.
    Även om det hjälper för någon så är en sådan åtgärd tämligen irrelevant eftersom det inte leder till att förståelse av den grundläggande felorsaken skapas. Därtill är det så olika vilken utrustning olika hushåll och verksamheter har och om man kan tycka att avbrott på lösa boliner och utan att garanterat positivt utfall är något som prioriteras.
    Lars

  • Lars skrev i annan tråd (nu raderat):

    Om du vill prova så lämnas inga garantier.
    LÄS HELA MEDDELANDET.

    Om detta funkar för dig skriv "TACK LARS".

    Min upplevelse före omstart var dock
    - det fick appen sveriges radio att fungera delvis (program spelades upp men pausades automatiskt efter några sekunder
    - sveriges radio i chrome såg lite bättre ut, men fortfarande en hel del fel i utseende
    - sveriges radio i chrome spelade upp ljud

    ... men efter omstart av plattan så var det en del inledande problem.
    - android visar en varning att "Nätverket kan vara övervakat av en okänd tredje part"
    - appen vägrade inledningsvis att spela ljud
    - chrome vägrade ladda någon sida alls, varken sverigesradio.se eller sunet.se
    Därefter
    - en stund senare kom notifieringar att "sidan är klar att öppna" för båda
    - chrome och appen spelar ljud

    STEG FÖR STEG PÅ EN SONY TABLET MED ANDROID 5.1.1
    1. i chrome i Windows gå till https://static-cdn.sr.se/
    2. klicka på ikonen till vänster i addressfältet
    3. klicka > i bilden nedan

    4. öppna certifikatdialogen

    5. byt till details

    6. Klicka och välj enligt nedan

    7: Spara denna fil på din Google Drive
    8. I android gå till inställningar > säkerhet
    9. bläddra ner till uppgiftgslagring
    10. välj installera certifikat från enhetsminne eller SD-kort
    11. bläddra till var i Google Drive du sparade .cer-filen
    12. välj den
    13. Följ de instruktioner som eventuellt kommer om att ge certifikatet ett namn

    Annika: Jag vill ändå bli kontaktad av teknisk personal.
    Annika Webbmaster
  • Lars, tack!

    Skriver inte "tack L*rs" förrän jag kikat närmare, men tycker absolut att detta är intressant.
    Annika Webbmaster
  • Några dagar har gått men ännu har ingen från Sveriges Radio hört av sig till mig.
    Tyvärr.
    Lars
  • Hej Lars och förlåt att svaret har dröjt!

    I och med att jag tidigare i veckan hörde från utvecklarna de hoppades att certifikat som funkar på Android ≤ 7 skulle installeras även på live-cdn.sr.se och static-cdn.sr.se (de delar av vår miljö där vi nu har cert från Let's Encrypt), ville jag ta reda på hur detta går innan jag svarar dig.

    Nu har jag fått bekräftat att detta kommer att ske! Inom en nära framtid, när DigiCert finns på plats överallt, kommer problemet i bland annat SR Play på äldre Android att lösas utan att lyssnare behöver installera egna certifikat. Med tanke på att många lyssnare som har äldre mobiler och surfplattor också har lågt IT-intresse är detta en lättnad, även om din beskrivning av hur man på egen hand kan installera detta är så pass tydlig att den borde gå att följa för flera av dem.

    Det var svar på dina ursprungliga frågor, hoppas jag. Du har även en del följdfrågor, bland annat om hur det kommer sig att vi inte använder sverigesradio.se över hela linjen utan har behållit sr.se. Om du sammanställer de frågorna, så att jag inte missar någon av dem, så hjälper jag dig att få svar. Dock får du stå ut med att jag blir en mellanhand mellan dig och våra utvecklare.

    Av de utvecklare jag frågat har ingen haft möjlighet att svara dig personligen, utan har valt att fokusera på att lösa problemen och ge mig fortsatt mandat att vara en länk mellan dem och lyssnarna. Om du har synpunkter på detta så kan du skriva till deras chef David Gustafssondavid.gustafsson@sverigesradio.se

    Trevlig helg!
    Annika Webbmaster
  • .... kommer problemet i bland annat SR Play på äldre Android att lösas utan att lyssnare behöver installera egna certifikat. 
    Förtydligande:
    Vi kan förstås inte garantera att alla problem löser sig omgående för alla drabbade, i synnerhet inte när vi har andra pågående problem.
    Annika Webbmaster
  • Förlusten är er och användarnas.

    Jag bjöd på en analys och lösning och önskade direktkontakt men att tvingas prata via mellanhand på ett publikt forum är ert val, inte mitt.

    Det enda jag ber dig förmedla är denna tråd och svar till David.

    Om David tycker att ni sjabblat bort något av värde genom era val och prioriteringar så får du delge min epostadress.

    Trist attityd när man försöker göra gott, eller hur? 👎🏻
    Lars

Kommentera eller skriv ett nytt inlägg

Ditt namn och inlägg kan ses av alla. Din e-post syns inte publikt.