maiki38
Sep 30, 2021
view10675
view12
0
Goto Top

Lets encrypt Zertifikat Problem IOS

GermansolvedQuestioniOSApple
Hallo Admins

Ich haben mehrere Domains die ich mit Lets Encrypt Zertifiziert habe

https://www.kniep.eu
https://www.unser-malteser.de
https://www.joecker.eu

Seite heute Morgen werden in IOS 15 Browser (Firefox, Safari) die Zertifikate als nicht sicher angezeigt. mit der App inspect konnte ich den Zertifikat Pfad anschauen und dort noch das alte DST Root CA X3 gefunden.
whatsapp image 2021-09-30 at 16.57.56.

Auf den Windows 10 Geräten dagegen keine Probleme
unbenannt-4

Habe alle Tips befolgt. Habe vergessen zu sagen das ich die Zertifikate mit Certbot herstelle und Apache als Webserver auf einen Windows Server Betreibe.
Wäre für hilfe sehr Dankbar!

Gruss
Maik
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 1328345083

Url: https://administrator.de/contentid/1328345083

Printed on: April 26, 2024 at 17:04 o'clock

12 Comments
Latest comment
Goto Top
Mitglied: 149569
149569 Sep 30, 2021 at 15:32:31 (UTC)
Goto Top
Bitte
Lets Encrypt Root Zertifikat Wechsel macht Probleme
Member: Maiki38
Maiki38 Sep 30, 2021 at 15:54:10 (UTC)
Goto Top
Das habe ich alles schon ausprobiert, hat alles nicht geklappt.
Mitglied: 149569
149569 Sep 30, 2021 at 16:21:01 (UTC)
Goto Top
Telefon mal neu starten, das hat wohl noch was im Cache.
Member: Dani
Dani Sep 30, 2021 at 16:44:06 (UTC)
Goto Top
Moin,
ist ein Bug im IOS 15.


Gruß,
Dani
Member: Maiki38
Maiki38 Sep 30, 2021 updated at 16:49:22 (UTC)
Goto Top
iPhone wurde auch schon neu gestartet. Wenn es also ein bug ist, einfach die beine still halten und auf einen iOS Patch warten?
Mitglied: 148656
148656 Sep 30, 2021 updated at 17:03:24 (UTC)
Goto Top
https://www.golem.de/news/tls-zertifikate-altes-let-s-encrypt-root-laeuf ...

Ein Root-Zertifikat der Firma Identrust ist heute abgelaufen. Das Zertifikat mit dem Namen DST Root CA X3 wurde von Let's Encrypt lange Zeit genutzt, um die Gültigkeit der ausgestellten Zertifikate auch in alten Browsern zu gewährleisten.
Member: Maiki38
Maiki38 Sep 30, 2021 at 17:14:16 (UTC)
Goto Top
Ja das ist mir seit gestern bekannt. Mich würde es interessieren ob das Problem nur durch den Cache Auftritt. Wenn jemand mal eine meiner url testen könnte mit sein iPhone und das Ergebnis hier mitteilt?

Danke und Gruß Maik
Member: LordGurke
Solution LordGurke Sep 30, 2021 at 17:37:37 (UTC)
Goto Top
Ich würde nicht sagen, dass das ein iOS-Bug ist.
Auch hier ist, wie im verlinkten Thread, schlicht der Zertifikats-Chain fehlerhaft. In diesem Fall deshalb, weil überhaupt keiner mitgeliefert wird.
Nachdem du Apache benutzt, schau dir mal an, ob du neben Key und Zertifikat auch ein Chainfile definiert hast.

https://www.ssllabs.com/ssltest/analyze.html?d=www.kniep.eu&hideResu ...
kniep-le
Member: 7Gizmo7
7Gizmo7 Sep 30, 2021 at 19:02:22 (UTC)
Goto Top
Hi,

administrator.de liefert leider auch noch das alte Zertifikat aus , das mag meine Fortigate auch gerade nicht.

Mit freundlichen Grüßen

@Frank
bildschirmfoto 2021-09-30 um 20.57.25
Member: LordGurke
LordGurke Sep 30, 2021 at 20:19:53 (UTC)
Goto Top
Das halte ich aber ehrlich gesagt für einen Fehler in Fortinet...
Das Zertifikat ist "cross-signed". Sinn dahinter ist, dass es reicht wenn ein Trust-Path vom Client validiert werden kann.
Es gehört also zum erwarteten Nutzungserlebnis, wenn einer dieser Pfade nicht verifiziert und genau das soll nicht zum Problem werden.
Sowas wird z.B. für Intermediate-Zertifikate gemacht — hier darf dann theoretisch sogar eines der Intermediates revoked werden.

Dass Fortigate daran zerschellt, ist aus meiner Sicht ein Fehler in deren Implementation der Zertifikatsprüfung — oder ein Hinweis darauf, dass der CA-Speicher deiner Fortigate so alt ist, dass der andere Trust-Path dort auch nicht validiert.
Member: Maiki38
Maiki38 Oct 01, 2021 at 03:02:01 (UTC)
Goto Top
Zitat von @LordGurke:

Ich würde nicht sagen, dass das ein iOS-Bug ist.
Auch hier ist, wie im verlinkten Thread, schlicht der Zertifikats-Chain fehlerhaft. In diesem Fall deshalb, weil überhaupt keiner mitgeliefert wird.
Nachdem du Apache benutzt, schau dir mal an, ob du neben Key und Zertifikat auch ein Chainfile definiert hast.

https://www.ssllabs.com/ssltest/analyze.html?d=www.kniep.eu&hideResu ...
kniep-le

Super das war es, habe den Chainfile in der Apache httpd-ssl.conf nicht eingetragen, nur den Key.pem und cert,pem.
Jetzt ist alles wieder super, Danke schön.
Gruss Maik
Member: 7Gizmo7
7Gizmo7 Oct 04, 2021 at 13:23:31 (UTC)
Goto Top
Zitat von @LordGurke:

Das halte ich aber ehrlich gesagt für einen Fehler in Fortinet...
Das Zertifikat ist "cross-signed". Sinn dahinter ist, dass es reicht wenn ein Trust-Path vom Client validiert werden kann.
Es gehört also zum erwarteten Nutzungserlebnis, wenn einer dieser Pfade nicht verifiziert und genau das soll nicht zum Problem werden.
Sowas wird z.B. für Intermediate-Zertifikate gemacht — hier darf dann theoretisch sogar eines der Intermediates revoked werden.

Dass Fortigate daran zerschellt, ist aus meiner Sicht ein Fehler in deren Implementation der Zertifikatsprüfung — oder ein Hinweis darauf, dass der CA-Speicher deiner Fortigate so alt ist, dass der andere Trust-Path dort auch nicht validiert.

Na nicht ganz, aber da scheiden sich wohl die Geister face-smile

https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-enc ...
GermansolvedQuestioniOSApple