Lets encrypt Zertifikat Problem IOS

Hallo Admins

Ich haben mehrere Domains die ich mit Lets Encrypt Zertifiziert habe

https://www.kniep.eu
https://www.unser-malteser.de
https://www.joecker.eu

Seite heute Morgen werden in IOS 15 Browser (Firefox, Safari) die Zertifikate als nicht sicher angezeigt. mit der App inspect konnte ich den Zertifikat Pfad anschauen und dort noch das alte DST Root CA X3 gefunden.
whatsapp image 2021-09-30 at 16.57.56.

Auf den Windows 10 Geräten dagegen keine Probleme
unbenannt-4

Habe alle Tips befolgt. Habe vergessen zu sagen das ich die Zertifikate mit Certbot herstelle und Apache als Webserver auf einen Windows Server Betreibe.
Wäre für hilfe sehr Dankbar!

Gruss
Maik

Content-Key: 1328345083

Url: https://administrator.de/contentid/1328345083

Ausgedruckt am: 23.10.2021 um 17:10 Uhr

Mitglied: hacktor
hacktor 30.09.2021 um 17:32:31 Uhr
Goto Top
Mitglied: Maiki38
Maiki38 30.09.2021 um 17:54:10 Uhr
Goto Top
Das habe ich alles schon ausprobiert, hat alles nicht geklappt.
Mitglied: hacktor
hacktor 30.09.2021 um 18:21:01 Uhr
Goto Top
Telefon mal neu starten, das hat wohl noch was im Cache.
Mitglied: Dani
Dani 30.09.2021 um 18:44:06 Uhr
Goto Top
Moin,
ist ein Bug im IOS 15.


Gruß,
Dani
Mitglied: Maiki38
Maiki38 30.09.2021 aktualisiert um 18:49:22 Uhr
Goto Top
iPhone wurde auch schon neu gestartet. Wenn es also ein bug ist, einfach die beine still halten und auf einen iOS Patch warten?
Mitglied: C.Caveman
C.Caveman 30.09.2021 aktualisiert um 19:03:24 Uhr
Goto Top
https://www.golem.de/news/tls-zertifikate-altes-let-s-encrypt-root-laeuf ...

Ein Root-Zertifikat der Firma Identrust ist heute abgelaufen. Das Zertifikat mit dem Namen DST Root CA X3 wurde von Let's Encrypt lange Zeit genutzt, um die Gültigkeit der ausgestellten Zertifikate auch in alten Browsern zu gewährleisten.

Mitglied: Maiki38
Maiki38 30.09.2021 um 19:14:16 Uhr
Goto Top
Ja das ist mir seit gestern bekannt. Mich würde es interessieren ob das Problem nur durch den Cache Auftritt. Wenn jemand mal eine meiner url testen könnte mit sein iPhone und das Ergebnis hier mitteilt?

Danke und Gruß Maik
Mitglied: LordGurke
Lösung LordGurke 30.09.2021 um 19:37:37 Uhr
Goto Top
Ich würde nicht sagen, dass das ein iOS-Bug ist.
Auch hier ist, wie im verlinkten Thread, schlicht der Zertifikats-Chain fehlerhaft. In diesem Fall deshalb, weil überhaupt keiner mitgeliefert wird.
Nachdem du Apache benutzt, schau dir mal an, ob du neben Key und Zertifikat auch ein Chainfile definiert hast.

https://www.ssllabs.com/ssltest/analyze.html?d=www.kniep.eu&hideResu ...
kniep-le
Mitglied: 7Gizmo7
7Gizmo7 30.09.2021 um 21:02:22 Uhr
Goto Top
Hi,

administrator.de liefert leider auch noch das alte Zertifikat aus , das mag meine Fortigate auch gerade nicht.

Mit freundlichen Grüßen

@Frank
bildschirmfoto 2021-09-30 um 20.57.25
Mitglied: LordGurke
LordGurke 30.09.2021 um 22:19:53 Uhr
Goto Top
Das halte ich aber ehrlich gesagt für einen Fehler in Fortinet...
Das Zertifikat ist "cross-signed". Sinn dahinter ist, dass es reicht wenn ein Trust-Path vom Client validiert werden kann.
Es gehört also zum erwarteten Nutzungserlebnis, wenn einer dieser Pfade nicht verifiziert und genau das soll nicht zum Problem werden.
Sowas wird z.B. für Intermediate-Zertifikate gemacht — hier darf dann theoretisch sogar eines der Intermediates revoked werden.

Dass Fortigate daran zerschellt, ist aus meiner Sicht ein Fehler in deren Implementation der Zertifikatsprüfung — oder ein Hinweis darauf, dass der CA-Speicher deiner Fortigate so alt ist, dass der andere Trust-Path dort auch nicht validiert.
Mitglied: Maiki38
Maiki38 01.10.2021 um 05:02:01 Uhr
Goto Top
Zitat von @LordGurke:

Ich würde nicht sagen, dass das ein iOS-Bug ist.
Auch hier ist, wie im verlinkten Thread, schlicht der Zertifikats-Chain fehlerhaft. In diesem Fall deshalb, weil überhaupt keiner mitgeliefert wird.
Nachdem du Apache benutzt, schau dir mal an, ob du neben Key und Zertifikat auch ein Chainfile definiert hast.

https://www.ssllabs.com/ssltest/analyze.html?d=www.kniep.eu&hideResu ...
kniep-le

Super das war es, habe den Chainfile in der Apache httpd-ssl.conf nicht eingetragen, nur den Key.pem und cert,pem.
Jetzt ist alles wieder super, Danke schön.
Gruss Maik
Mitglied: 7Gizmo7
7Gizmo7 04.10.2021 um 15:23:31 Uhr
Goto Top
Zitat von @LordGurke:

Das halte ich aber ehrlich gesagt für einen Fehler in Fortinet...
Das Zertifikat ist "cross-signed". Sinn dahinter ist, dass es reicht wenn ein Trust-Path vom Client validiert werden kann.
Es gehört also zum erwarteten Nutzungserlebnis, wenn einer dieser Pfade nicht verifiziert und genau das soll nicht zum Problem werden.
Sowas wird z.B. für Intermediate-Zertifikate gemacht — hier darf dann theoretisch sogar eines der Intermediates revoked werden.

Dass Fortigate daran zerschellt, ist aus meiner Sicht ein Fehler in deren Implementation der Zertifikatsprüfung — oder ein Hinweis darauf, dass der CA-Speicher deiner Fortigate so alt ist, dass der andere Trust-Path dort auch nicht validiert.

Na nicht ganz, aber da scheiden sich wohl die Geister :-) face-smile

https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-enc ...
Heiß diskutierte Beiträge
question
ASUS H110M-A - TPM-Funktion im BIOS? gelöst SarekHLVor 1 TagFrageCPU, RAM, Mainboards15 Kommentare

Hallo zusammen, weiß jemand sicher, ob das ASUS H110M-A/M.2 eine TPM-Funktion/Emulation im BIOS hat? Hier ist das Board ganz unten als Win11-kompatibel aufgeführt, aber während ...

question
Sfp 100Mbit Switch gesuchtjonasgrafeVor 1 TagFrageSwitche und Hubs16 Kommentare

Hi zusammen, Bei uns der Firma ist heute Nacht ein Einsteckmodul (Lwl SC) von einem Siemens Scalance Switch gestorben. Über diese Module besteht eine Verbindung ...

question
PC zeigt kein Bild mehrben1300Vor 1 TagFrageHardware12 Kommentare

Hallo zusammen, mein PC geht zwar noch an (LED leuchten und Lüfter laufen), aber ich erhalte kein Bild mehr. Mainboard: MSI B450M Mortar Max Mainboard ...

question
PfSense nach Änderung von "Block private networks and loopback addresses" nicht mehr erreichbarvafk18Vor 1 TagFrageRouter & Routing5 Kommentare

Ich habe an meiner pfSense am entfernten Standort in den WAN-Einstellungen den Haken bei "Block private networks and loopback addresses" gelöscht. Nach dem Bestätigen war ...

question
Browserverhalten bei nicht offizieller TLD im privaten NetzSiegfried36Vor 17 StundenFrageDNS18 Kommentare

Moin, ich hoffe ihr könnt mir helfen Licht ins Dunkel zu bringen. So ganz verstehe ich diesen ganzen Zusammenhang nicht. Ich will in meinem internen ...

question
Jeder druckjob (auf WTS) soll im eventvwr.msc vermerkt werdenManuManu2021Vor 1 TagFrageMicrosoft2 Kommentare

Hallo, die User arbeiten mit TS Server und versenden via Warenwirtschaft mittels Datei/Drucken/Tobit-Faxware-Drucker einzelne Briefe. (ca. 2000 pro monat ausgehend, kein Newsletter) Manchmal funktioniert der ...

question
Prüfen ob Befehl in Variable true zurück gibt gelöst zuzuelqVor 1 TagFrageBatch & Shell7 Kommentare

Hallo liebe Gemeinde, sonst stiller Leser nun Fragender (Powershellbeginner). Steinigt mich bitte nicht, aber ich habe mir die gestrige Nacht um die Ohren geschlagen, und ...

question
JBOD - Platte kopieren möglich?DoKi468Vor 16 StundenFrageFestplatten, SSD, Raid1 Kommentar

Hallo zusammen, eine Frage: Ich habe eine Synology NAS und habe dort ein JBOD eingerichtet mit 2 4TB Platten Allerdings springt bei einer Platte teilweise ...