jojo0411
Goto Top

Lets Encrypt Root Zertifikat Wechsel macht Probleme

Hallo Leute,

Heute Nacht dürfte es einen Wechsel des Root Zertifikats gegeben haben seitdem zicken bei uns die IOS Geräte rum.

https://armann-systems.com/news/wichtig-fuer-admins-zertifikatswechsel-b ...

Hat jemand eine Idee wie man das am einfachsten lösen kann?

LG Jojo

Content-ID: 1325883551

Url: https://administrator.de/forum/lets-encrypt-root-zertifikat-wechsel-macht-probleme-1325883551.html

Ausgedruckt am: 26.12.2024 um 01:12 Uhr

em-pie
em-pie 30.09.2021 um 07:52:35 Uhr
Goto Top
Moin,

solange die Clients die (neuen) Root-Zertifikate nicht kennen…

Heise hat da bereits ein wenig was zu geschrieben:
https://www.heise.de/news/Let-s-Encrypt-Zertifikate-Ruckler-am-30-Septem ...

Gruß
em-pie
jojo0411
jojo0411 30.09.2021 um 08:06:24 Uhr
Goto Top
Danke für die Info.

Wenn ich den SSL Test mache dann bekomme ich das Ergebnis:

Chain issues Not trusted as supplied

Ich nutze Certify the Web für die Aktualisierung. Dort heißt es nur das man die neueste Version benötigt und dann einen Renew durchführen muss.

Das hat aber nicht geholfen.

LG Alex
jojo0411
jojo0411 30.09.2021 um 08:27:51 Uhr
Goto Top
Ok, wenn ich das Mailkonto lösche und wieder anlege kann ich in diesem Zuge dem Zertifikat vertrauen. Dann funktioniert es wieder.

Aber wie kann ich jetzt an die 100 Geräte mit dem Zertifikat versorgen?
LordGurke
LordGurke 30.09.2021 um 09:28:20 Uhr
Goto Top
Das darfst du dann alle drei Monate, wenn sich dein LE-Zertifikat erneuert, wiederholen. Würde ich nicht als Lösung bezeichnen...

Dein Problem ist eher, dass du falsche Zwischenzertifikate ("Chain") auslieferst.
Diese werden normalerweise passend mit den Zertifikaten erzeugt, aber vielleicht musst du hier händisch tätig werden. Könnte z.B. sein, dass das bei dir auf dem Server mal händisch konfiguriert wurde und jetzt händisch aktualisiert werden muss...
LauneBaer
LauneBaer 30.09.2021 um 09:40:29 Uhr
Goto Top
Hier steht noch ein bisschen was dazu von Certify the Web: Klick mich!

Wir nutzen das ebenfalls für unseren Exchange und der Wechsel hat (scheinbar) problemlos funktioniert. (sonst hätte ich schon mehr Geschrei gehört ;) )
jojo0411
jojo0411 30.09.2021 um 09:54:54 Uhr
Goto Top
Also ich denke das Zertifikat am Server ist richtig. Im Webmail wird schon ISRG Root X1 als Aussteller angezeigt. Es scheint nur so das manche IOS Geräte das nicht installiert haben.

Es tritt auch nicht bei allen auf.
LordGurke
Lösung LordGurke 30.09.2021 um 10:18:44 Uhr
Goto Top
Kannst du einmal den kompletten vom Server gelieferten Chain testen, z.B. mit https://www.ssllabs.com/ssltest/ ?
Falls da im Chain Zertifikate stehen, die nicht passen, wird dir das entsprechend markiert.
Dann weiß man zumindest, ob es auf dem Server richtig konfiguriert ist.
jojo0411
Lösung jojo0411 30.09.2021 um 10:32:29 Uhr
Goto Top
Ok, das Problem war die Chain. Wurde im Zertifikat richtig angezeigt der Test war aber negativ.

Server Neustart hat das Problem gelöst.

Vielen Dank für die zahlreiche Unterstützung.
kgborn
kgborn 30.09.2021 um 16:09:33 Uhr
Goto Top
Problem bei vielen Fällen war, dass die Zertifikateaktualisierung nicht reicht, der Server muss neu gestartet werden, damit die Zertifikatekette neu aufgebaut wird. Zudem spukt noch Sophos UTM mit rein. Ich habe kurz was zusammengefasst - vielleicht hilft es.

Let’s Encrypt-Zertifikate-Ärger mit Windows, Sophos UTM, macOS/iOS (30.9.2021)
Maiki38
Maiki38 30.09.2021 aktualisiert um 17:33:25 Uhr
Goto Top
hallo

Ich haben mehrere Domains die ich mit Lets Encrypt Zertifikat

https://www.kniep.eu
https://www.unser-malteser.de
https://www.joecker.eu

Seite heute Morgen werden in IOS 15 Browser (Firefox, Safari) die Zertifikate als nicht sicher angezeigt. mit der App inspect konnte ich den Zertifikat Pfad anschauen und dort noch das alte DST Root CA X3
whatsapp image 2021-09-30 at 16.57.56.
angezeigt. Auf den Windows Geräten dagegen keine Probleme
unbenannt-4
.
Habe alle tips befolgt. Habe vergessen zu sagen das ich die Zertifikate mit Certbot herstelle und Apache als Webserver auf einen Windows Server Betreibe.

Konfiguration:

Apache Version Apache/2.4.47 (Win64) OpenSSL/1.1.1k PHP/7.3.28
Apache API Version 20120211
Server Administrator webmaster@unser-malteser.de
Hostname:Port www.unser-malteser.de:443
Max Requests Per Child: 0 - Keep Alive: on - Max Per Connection: 100
Timeouts Connection: 300 - Keep-Alive: 5
Virtual Server Yes
Server Root D:/apachefriends/Xampp/apache
Loaded Modules core mod_win32 mpm_winnt http_core mod_so mod_access_compat mod_actions mod_alias mod_allowmethods mod_asis mod_auth_basic mod_authn_core mod_authn_file mod_authz_core mod_authz_groupfile mod_authz_host mod_authz_user mod_autoindex mod_cgi mod_dav_lock mod_deflate mod_dir mod_env mod_filter mod_headers mod_include mod_info mod_isapi mod_log_config mod_cache_disk mod_md mod_mime mod_negotiation mod_proxy mod_proxy_ajp mod_rewrite mod_setenvif mod_socache_shmcb mod_ssl mod_status mod_version mod_vhost_alias mod_php7
141986
141986 01.10.2021 aktualisiert um 07:14:31 Uhr
Goto Top
Hello,

gestern hatte ich hier 4 BlödPhones 12 rumliegen, die alle vom gleichen Server Ihre Mails abrufen.

Zwei von Vieren mochten das Zertifikat(LE) nicht mehr. Die anderen Zwei haben einfach weiter gemacht wie zuvor.

Alle 4 Devices gleicher Updatestand (iOS15) und gleiche Mailabrufapp.
Wie geht denn sowas!?

Habe kurzer Hand das Zertifikat erneuert und die Sache war gegessen. /shrug

Grüße
65k

Edita meinte ich solle noch folgendes hinzufügen:
der Server muss neu gestartet werden
War hier nicht nötig.