"Trust anchor for certification path not found" error when xDrip+ tries to upload data to my Nightscout portal

[nicola-iuretigh]

Hi.
It's been several days that my daughter's xDrip+ app logs these errors while trying to upload glucose readings to the Nightscout portal:

"Got exception attempting status update: javax.net.ssl.SSLHandshakeException: [java.security] https://help.railway.app/questions/java.security).cert.CertPathValidatorException: Trust anchor for certification path not found"

and currently I'm not able to understand where the problem is and how to restore.

We are using xDrip+ version 23ccbd1-2023.07.16 (code 2123071614) on an old Samsung J5 (year 2015) running Android 6.0.1.
Our Nightscout portal is version 14.2.6 and is running on Railway cloud (https://railway.app/) on https protocol.

I made some research and it seems that the problem can be related to some client certificate expiration (Android version too old perhaps), but I did not found any workaround or suggestment to restore the correct uploading behaviour.

Does any solution or fix exist for this problem?

Thank you very much in advance for any support.

[Navid200]

Have you asked Railway?
I don't think you can be the only person using xDrip with Railway.

[nicola-iuretigh]

Sorry @Navid200 ...

If you have time, you can create an alternative Nightscout on Google Cloud to see if it shows the same issue: https://navid200.github.io/xDrip/docs/Nightscout/GoogleCloud.html

Unfortunately it didn't work... :(
Different server, same error: Trust anchor for certification path not found.

In these days even navigating with the "old device" to several different web sites (that i was used to visit) started to give problems (ERR_CERT_AUTHORITY_INVALID)...
It seems very likely that it is a certificates problem on my old device (like @ffrouin said in his comment).

Is there a way to update my device's certificates or a way to make xDrip capable to use updated certificates?

Thank you very much for your support.

[Navid200]

When you have a Nightscout site that you cannot reach using any device even with a browser on any device, it is clear that something is wrong with the Nightscout site.
I originally had thought this was the problem and that's why I suggested trying a different server setup (Google Cloud).

If you could reach the site on your phone with a browser, but could not upload to it with xDrip, something must be set up incorrectly in xDrip.

But, if I understand your description correctly, the problem is limited to your phone and you can see your Nightscout on your computer. Then, something is wrong with your phone not letting you access a particular web site.
And I am sorry that I have no experience with that particular error you are showing.

[nicola-iuretigh]

Then, something is wrong with your phone not letting you access a particular web site.

I agree with that!

And I am sorry that I have no experience with that particular error you are showing.

You do not have to excuse yourself... You were very kind and so helpful.
Thank you for that.
I am thinking that I have to give up with this old device, so a last question @Navid200 ...
I have another (younger) phone with xDrip+ configured as follower of the "old phone"... the follower regularly and correctly receives data from the master without any problem...
Can I configure the "follower xDrip+" to upload (the data received from the master) to the Nightscout site? Or the upload is a feature available only for the master?

[Navid200]

xDrip can upload to Nightscout regardless of how it receives that data.
So, the following is possible:

Phone 1 collects from a sensor and is xDrip sync master.
Phone 2 is an xDrip sync follower of phone 1. It also uploads to Nightsocut.

[nicola-iuretigh]

Oh yeah @Navid200...

xDrip can upload to Nightscout regardless of how it receives that data.

It's working amazingly!
Very good!
I can resist in this configuration till the day I'll replace the "old device" (not so far I think)...

Thank you for your helpful support @Navid200 ...
Thank you very much.
Best regards,

Nicola

[ffrouin]

Hello Nicola,

I'm facing same issue there since 2 days with an old Wiko Harry (Android Nougat 7) device : neither the "600 serie uploader" (for medtronic 640G pump) nor xdrip+ (latest release) are able to reach the nightscout API using a Letsencrypt SSL certificate to enable HTTPS stream. Both applications report "trust anchor for certification path not found".

At the same time this device is able to access the HTTPS web reporting page of nightscout without any error with the SSL certificate and its certification chain.

I suppose the "600 serie uploader" and "xdrip" apps are using java primitives using the android system layer to validate the SSL certification path (chain) while web browsers apps like chrome or firefox may use their own SSL certificate validation processes. That may explain the behavior I do see here.

I was investigating the Letsencrypt Root CA expiration this morning. I found out LetsEncrypt root CA should initially expire in 2021 and have been extended with a partnership (IdenTrust) for 3 years more, until beginning of 2024. Maybe this is the reason why some Root CA on old android systems may not be up to date and require a manual update.

I'm looking if we could add manually required Root CA on these old devices in order certification path validation to be working back... I need find out :

• the missing or updated Root CA files. I tried the CA files in link below "some fix used 3 years ago" which according to file content may be valid until october 2025.
• where to push them on android filesystem : I used "import certificates from SD" menu. After import I can see files in user certificates tab.

But this did not fix the issue. I also do see IdenTrust root CA files on my android 7 with validity until 16th of January 2034...

LetsEncrypt details about its root CA expiration :
https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
https://letsencrypt.org/2023/07/10/cross-sign-expiration

"If you use Android 7.0 or earlier, you may need to take action to ensure you can still access websites secured by Let’s Encrypt certificates. We recommend installing and using Firefox Mobile, which uses its own trust store instead of the Android OS trust store, and therefore trusts ISRG Root X1."

Some fix used 3 years ago to investigate :
https://www.stephenwagner.com/2021/09/30/sophos-dst-root-ca-x3-expiration-problems-fix/

Regards, Freddy.

[nicola-iuretigh]

Hi @ffrouin...
Thank you for your suggestments...
I will try to study them so I can better understand this problem...

Thank you again,
Bye.

[nicola-iuretigh]

Hey @ffrouin...

With @Navid200 help, I have found a workaround for the missing Nightscout uploads... now i upload the glucose readings using a follower xDrip+ instead of the (old) master.
I think that the only solution that actualy "fix' the "old device" problem is to replace that device with a "new device"... till that day I can resist with the "use the follower" solution.

Thank you for your suggestments.
Bye,

Nicola

[ffrouin]

Hello @nicola-iuretigh @Navid200,

Sorry for late reply. On my side, further investigations allowed me to conclude :

• only Letsencrypt certificates on nightscout server side and end-users using android 7 or earlier devices releases to run xdrip or any nightscout uploader may experiment this issue for any letsencrypt certificate renewed after 8th of Feb 2024. More users may have the issue within 90 days after 8th of Feb. Android 7 users is only near 3% of android users, so the impact may be limited.
• the only way to have it work on Android 7 or earlier would be either to root device to update system openssl layer that has been pointed out by Letsencrypt tech team to face issue in new letsencrypt chain validation (I can't find back article reference for this) or to flash a new firmware on device with a more recent android release (risk to brik the device).

Best Regards, Freddy.

[Navid200]

@ffrouin I had no idea. Thanks for this.
I wonder if there is anything else we can do so that those using Android 6 and 7 can continue to use them.

[PhilTU]

@ffrouin I had no idea. Thanks for this. I wonder if there is anything else we can do so that those using Android 6 and 7 can continue to use them.

well outside my skills but could you use a different type of encryption or certificate at the Nightscout server ? If the one that doesn't work with Android 7 were not available I would expect something else would be used instead.

[Navid200]

I have asked. I don't believe there are many free options.
Anyway, I will know more soon.

[ffrouin]

Hi @PhilTU,

For sure, you are right. Change of SSL certificate provider could also help fix this issue. In my case, using docker images the change could have been done with the traefik container settings I suppose:
https://doc.traefik.io/traefik/https/overview/

I'm talking about this kind of nightscout docker instance : https://nightscout.github.io/vendors/VPS/docker/#deploy-a-single-instance

Best Regards,
Freddy.

[nicola-iuretigh]

@ffrouin, @PhilTU and @Navid200 ...
Thank you very much for your contributions!

[giuseppe-Marfisi]

Ciao Nicola-iuretigh. Ho il tuo stesso problema. Da qualche settimana non riesco più a leggere i dati su xdrip (come follower) sul mio tablet Android 7 nonostante il fatto che io continuo a visualizzare i dati tramite browser su nighscout.
Io sto cercando, tra mille difficoltà, visto che non sono un informatico, di capirne qualcosa.
Giá il fatto di avere accettato che tutto è provocato dal certificato let's encrypt è un piccolo passo.
Forse dovremmo segnalare il problema agli sviluppatori di xdrip affinché cambino l'endpoint.
Mi pare che anche tu non hai trovato soluzione.
Mi farebbe piacere che collaborassimo nelle nostre condividendo i risultati.
Fammi sapere. Ciao

[giuseppe-Marfisi]

Se ho capito bene hai trovato una soluzione temporanea, ma non ho capito come. Puoi spiegarmi per favore? Grazie

[nicola-iuretigh]

Ciao @giuseppe-Marfisi ...
Scusami per il ritardo con cui ti rispondo.

Da qualche settimana non riesco più a leggere i dati su xdrip (come follower) sul mio tablet Android 7 nonostante il fatto che io continuo a visualizzare i dati tramite browser su nighscout

Mi sembra che il tuo problema sia un po' diverso dal mio... il mio dispositivo xDrip Master non riusciva a caricare i dati sul portale Nightscout mentre comunicava normalmente con i follower, mentre nel tuo caso sembra il contrario: Nightscout è ok, ma il follower non riceve più nulla...
Nel log di xDrip master ci sono messaggi di errore relativi a "Trust anchor", "certificates" o similari?

Se ho capito bene hai trovato una soluzione temporanea, ma non ho capito come. Puoi spiegarmi per favore? Grazie

Certamente...
Visto che il dispositivo master non riusciva a caricare su Nightscout, ma riusciva tranquillamente a inviare i dati sul dispositivo follower ho configurato quest'ultimo (che è un dispositivo più moderno) per trasmettere su Nightscout i dati che gli sono stati trasmessi dal master.

Visto che nel tuo caso i dati si Nightscout ci sono, potresti provare a configurare il tuo tablet Android 7 come "Nightscout follower" invece che come "xDrip follower" e vedere cosa succede.
Ti avviso però che è un'operazione che io non ho mai fatto.
So che tra i "Dati Hardware di origine" esiste anche la voce "Nightscout Follower" ma oltre a questo non sono mai andato.
E non so nemmeno cosa succede alla tua configurazione "xDrip Follower" una volta che hai cambiato modalità :( :( :(

Non so se sono stato di molto aiuto...

[giuseppe-Marfisi]

Innanzitutto ti ringrazio per la tua cortese risposta. Ti dico intanto che su xdrip ho un avviso che riguarda trust anchor. Per quanto riguarda invece il tuo suggerimento, ti dico che io già utilizzavo mai scout follower. Ma è proprio questo il problema perché i dati trasmessi da nice scout non riescono ad entrare su xdrip poiché manca il certificato di sicurezza. Dovrebbe essere quello di let's Encrypt che è scaduto poco più di un mese fa per gli Android 7. Ancora non ho trovato soluzione. Ho scritto anche gli sviluppatori di xdrip sperando che questa segnalazione venga presa in considerazione. L'alternativa sarebbe installare una rom sul tablet che consente di installare un sistema operativo superiore ad Android 7 e con esso anche il certificato let's encrypt. Grazie ancora per la tua risposta Il ven 22 mar 2024, 18:36 nicola-iuretigh ***@***.***> ha scritto:

…

Ciao @giuseppe-Marfisi <https://github.com/giuseppe-Marfisi> ... Scusami per il ritardo con cui ti rispondo. Da qualche settimana non riesco più a leggere i dati su xdrip (come follower) sul mio tablet Android 7 nonostante il fatto che io continuo a visualizzare i dati tramite browser su nighscout Mi sembra che il tuo problema sia un po' diverso dal mio... il mio dispositivo xDrip Master non riusciva a caricare i dati sul portale Nightscout mentre comunicava normalmente con i follower, mentre nel tuo caso sembra il contrario: Nightscout è ok, ma il follower non riceve più nulla... Nel log di xDrip master ci sono messaggi di errore relativi a "Trust anchor", "certificates" o similari? Se ho capito bene hai trovato una soluzione temporanea, ma non ho capito come. Puoi spiegarmi per favore? Grazie Certamente... Visto che il dispositivo master non riusciva a caricare su Nightscout, ma riusciva tranquillamente a inviare i dati sul dispositivo follower ho configurato quest'ultimo (che è un dispositivo più moderno) per trasmettere su Nightscout i dati che gli sono stati trasmessi dal master. Visto che nel tuo caso i dati si Nightscout ci sono, potresti provare a configurare il tuo tablet Android 7 come "Nightscout follower" invece che come "xDrip follower" e vedere cosa succede. Ti avviso però che è un'operazione che *io non ho mai fatto*. So che tra i "Dati Hardware di origine" esiste anche la voce "Nightscout Follower" ma oltre a questo non sono mai andato. E non so nemmeno cosa succede alla tua configurazione "xDrip Follower" una volta che hai cambiato modalità :( :( :( Non so se sono stato di molto aiuto... — Reply to this email directly, view it on GitHub <#3368 (reply in thread)>, or unsubscribe <https://github.com/notifications/unsubscribe-auth/AHEKJOUTMRTBN5JQP2QAZHDYZRT3DAVCNFSM6AAAAABD4T5QK2VHI2DSMVQWIX3LMV43SRDJONRXK43TNFXW4Q3PNVWWK3TUHM4DQOBRGEZTI> . You are receiving this because you were mentioned.Message ID: ***@***.*** com>

[nicola-iuretigh]

Ciao @giuseppe-Marfisi.

ti dico che io già utilizzavo mai scout follower

Se stai già usando la modalità "Nightscout follower"e non funziona (per il problema dei certificati) allora potresti provare la modalità "xDrip follower" in cui il dispositivo master invia i dati direttamente al dispositivo follower senza per questo smettere di trasmettere i dati al portale Nightscout.
Se non hai mai configurato questo tipo di impostazione qui c'è un video molto utile.
La comunicazione "diretta" tra i due dispositivi non dovrebbe "inciampare" nel problema dei certificati.
Ciao.

[giuseppe-Marfisi]

Mia figlia non ha xdrip (master) per android. Lei usa Shuggar su IPhone e credo che questa funzione non è presente, che io sappia. My daughter doesn't have xdrip (master) for android. She uses Shuggar on iPhone and I think this feature is not present that I know of Il dom 24 mar 2024, 18:22 nicola-iuretigh ***@***.***> ha scritto:

…

Ciao @giuseppe-Marfisi <https://github.com/giuseppe-Marfisi>. ti dico che io già utilizzavo mai scout follower Se stai già usando la modalità "Nightscout follower"e non funziona (per il problema dei certificati) allora potresti provare la modalità "xDrip follower" in cui il dispositivo master invia i dati direttamente al dispositivo follower senza per questo smettere di trasmettere i dati al portale Nightscout. Se non hai mai configurato questo tipo di impostazione qui c'è un video <https://youtu.be/LcgjfbYcWkE?si=hg2e3ZBrPlvHWBJf> molto utile. La comunicazione "diretta" tra i due dispositivi non dovrebbe "inciampare" nel problema dei certificati. Ciao. — Reply to this email directly, view it on GitHub <#3368 (reply in thread)>, or unsubscribe <https://github.com/notifications/unsubscribe-auth/AHEKJOVOGIXROX7SQNA2CV3YZ4DVVAVCNFSM6AAAAABD4T5QK2VHI2DSMVQWIX3LMV43SRDJONRXK43TNFXW4Q3PNVWWK3TUHM4DQOJUGE4DG> . You are receiving this because you were mentioned.Message ID: ***@***.*** com>

[nicola-iuretigh]

My daughter doesn't have xdrip (master) for android. She uses Shuggar on iPhone and I think this feature is not present that I know of

Now I understand @giuseppe-Marfisi...
Unfortunately I have no more suggestions or workarounds.. sorry :(

[giuseppe-Marfisi]

Thank you Il dom 24 mar 2024, 18:46 nicola-iuretigh ***@***.***> ha scritto:

…

My daughter doesn't have xdrip (master) for android. She uses Shuggar on iPhone and I think this feature is not present that I know of Now I understand @giuseppe-Marfisi <https://github.com/giuseppe-Marfisi> ... Unfortunately I have no more suggestions or workarounds.. sorry :( — Reply to this email directly, view it on GitHub <#3368 (comment)>, or unsubscribe <https://github.com/notifications/unsubscribe-auth/AHEKJOVSLXJMFNMLSLN6FB3YZ4GOXAVCNFSM6AAAAABD4T5QK2VHI2DSMVQWIX3LMV43SRDJONRXK43TNFXW4Q3PNVWWK3TUHM4DQOJUGI4DO> . You are receiving this because you were mentioned.Message ID: ***@***.*** com>