12
Lets encrypt Zertifikat Problem IOS
Hallo Admins
Ich haben mehrere Domains die ich mit Lets Encrypt Zertifiziert habe
https://www.kniep.eu
https://www.unser-malteser.de
https://www.joecker.eu
Seite heute Morgen werden in IOS 15 Browser (Firefox, Safari) die Zertifikate als nicht sicher angezeigt. mit der App inspect konnte ich den Zertifikat Pfad anschauen und dort noch das alte DST Root CA X3 gefunden.
Auf den Windows 10 Geräten dagegen keine Probleme
Habe alle Tips befolgt. Habe vergessen zu sagen das ich die Zertifikate mit Certbot herstelle und Apache als Webserver auf einen Windows Server Betreibe.
Wäre für hilfe sehr Dankbar!
Gruss
Maik
Ich haben mehrere Domains die ich mit Lets Encrypt Zertifiziert habe
https://www.kniep.eu
https://www.unser-malteser.de
https://www.joecker.eu
Seite heute Morgen werden in IOS 15 Browser (Firefox, Safari) die Zertifikate als nicht sicher angezeigt. mit der App inspect konnte ich den Zertifikat Pfad anschauen und dort noch das alte DST Root CA X3 gefunden.
Auf den Windows 10 Geräten dagegen keine Probleme
Habe alle Tips befolgt. Habe vergessen zu sagen das ich die Zertifikate mit Certbot herstelle und Apache als Webserver auf einen Windows Server Betreibe.
Wäre für hilfe sehr Dankbar!
Gruss
Maik
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1328345083
Url: https://administrator.de/contentid/1328345083
Ausgedruckt am: 24.11.2024 um 14:11 Uhr
12 Kommentare
Neuester Kommentar
Das habe ich alles schon ausprobiert, hat alles nicht geklappt.
Telefon mal neu starten, das hat wohl noch was im Cache.
Moin,
ist ein Bug im IOS 15.
Gruß,
Dani
ist ein Bug im IOS 15.
Gruß,
Dani
iPhone wurde auch schon neu gestartet. Wenn es also ein bug ist, einfach die beine still halten und auf einen iOS Patch warten?
https://www.golem.de/news/tls-zertifikate-altes-let-s-encrypt-root-laeuf ...
Ein Root-Zertifikat der Firma Identrust ist heute abgelaufen. Das Zertifikat mit dem Namen DST Root CA X3 wurde von Let's Encrypt lange Zeit genutzt, um die Gültigkeit der ausgestellten Zertifikate auch in alten Browsern zu gewährleisten.
Ja das ist mir seit gestern bekannt. Mich würde es interessieren ob das Problem nur durch den Cache Auftritt. Wenn jemand mal eine meiner url testen könnte mit sein iPhone und das Ergebnis hier mitteilt?
Danke und Gruß Maik
Danke und Gruß Maik
Ich würde nicht sagen, dass das ein iOS-Bug ist.
Auch hier ist, wie im verlinkten Thread, schlicht der Zertifikats-Chain fehlerhaft. In diesem Fall deshalb, weil überhaupt keiner mitgeliefert wird.
Nachdem du Apache benutzt, schau dir mal an, ob du neben Key und Zertifikat auch ein Chainfile definiert hast.
https://www.ssllabs.com/ssltest/analyze.html?d=www.kniep.eu&hideResu ...
Auch hier ist, wie im verlinkten Thread, schlicht der Zertifikats-Chain fehlerhaft. In diesem Fall deshalb, weil überhaupt keiner mitgeliefert wird.
Nachdem du Apache benutzt, schau dir mal an, ob du neben Key und Zertifikat auch ein Chainfile definiert hast.
https://www.ssllabs.com/ssltest/analyze.html?d=www.kniep.eu&hideResu ...
Hi,
administrator.de liefert leider auch noch das alte Zertifikat aus , das mag meine Fortigate auch gerade nicht.
Mit freundlichen Grüßen
@Frank
administrator.de liefert leider auch noch das alte Zertifikat aus , das mag meine Fortigate auch gerade nicht.
Mit freundlichen Grüßen
@Frank
Das halte ich aber ehrlich gesagt für einen Fehler in Fortinet...
Das Zertifikat ist "cross-signed". Sinn dahinter ist, dass es reicht wenn ein Trust-Path vom Client validiert werden kann.
Es gehört also zum erwarteten Nutzungserlebnis, wenn einer dieser Pfade nicht verifiziert und genau das soll nicht zum Problem werden.
Sowas wird z.B. für Intermediate-Zertifikate gemacht — hier darf dann theoretisch sogar eines der Intermediates revoked werden.
Dass Fortigate daran zerschellt, ist aus meiner Sicht ein Fehler in deren Implementation der Zertifikatsprüfung — oder ein Hinweis darauf, dass der CA-Speicher deiner Fortigate so alt ist, dass der andere Trust-Path dort auch nicht validiert.
Das Zertifikat ist "cross-signed". Sinn dahinter ist, dass es reicht wenn ein Trust-Path vom Client validiert werden kann.
Es gehört also zum erwarteten Nutzungserlebnis, wenn einer dieser Pfade nicht verifiziert und genau das soll nicht zum Problem werden.
Sowas wird z.B. für Intermediate-Zertifikate gemacht — hier darf dann theoretisch sogar eines der Intermediates revoked werden.
Dass Fortigate daran zerschellt, ist aus meiner Sicht ein Fehler in deren Implementation der Zertifikatsprüfung — oder ein Hinweis darauf, dass der CA-Speicher deiner Fortigate so alt ist, dass der andere Trust-Path dort auch nicht validiert.
Zitat von @LordGurke:
Ich würde nicht sagen, dass das ein iOS-Bug ist.
Auch hier ist, wie im verlinkten Thread, schlicht der Zertifikats-Chain fehlerhaft. In diesem Fall deshalb, weil überhaupt keiner mitgeliefert wird.
Nachdem du Apache benutzt, schau dir mal an, ob du neben Key und Zertifikat auch ein Chainfile definiert hast.
https://www.ssllabs.com/ssltest/analyze.html?d=www.kniep.eu&hideResu ...
Ich würde nicht sagen, dass das ein iOS-Bug ist.
Auch hier ist, wie im verlinkten Thread, schlicht der Zertifikats-Chain fehlerhaft. In diesem Fall deshalb, weil überhaupt keiner mitgeliefert wird.
Nachdem du Apache benutzt, schau dir mal an, ob du neben Key und Zertifikat auch ein Chainfile definiert hast.
https://www.ssllabs.com/ssltest/analyze.html?d=www.kniep.eu&hideResu ...
Super das war es, habe den Chainfile in der Apache httpd-ssl.conf nicht eingetragen, nur den Key.pem und cert,pem.
Jetzt ist alles wieder super, Danke schön.
Gruss Maik
Zitat von @LordGurke:
Das halte ich aber ehrlich gesagt für einen Fehler in Fortinet...
Das Zertifikat ist "cross-signed". Sinn dahinter ist, dass es reicht wenn ein Trust-Path vom Client validiert werden kann.
Es gehört also zum erwarteten Nutzungserlebnis, wenn einer dieser Pfade nicht verifiziert und genau das soll nicht zum Problem werden.
Sowas wird z.B. für Intermediate-Zertifikate gemacht — hier darf dann theoretisch sogar eines der Intermediates revoked werden.
Dass Fortigate daran zerschellt, ist aus meiner Sicht ein Fehler in deren Implementation der Zertifikatsprüfung — oder ein Hinweis darauf, dass der CA-Speicher deiner Fortigate so alt ist, dass der andere Trust-Path dort auch nicht validiert.
Das halte ich aber ehrlich gesagt für einen Fehler in Fortinet...
Das Zertifikat ist "cross-signed". Sinn dahinter ist, dass es reicht wenn ein Trust-Path vom Client validiert werden kann.
Es gehört also zum erwarteten Nutzungserlebnis, wenn einer dieser Pfade nicht verifiziert und genau das soll nicht zum Problem werden.
Sowas wird z.B. für Intermediate-Zertifikate gemacht — hier darf dann theoretisch sogar eines der Intermediates revoked werden.
Dass Fortigate daran zerschellt, ist aus meiner Sicht ein Fehler in deren Implementation der Zertifikatsprüfung — oder ein Hinweis darauf, dass der CA-Speicher deiner Fortigate so alt ist, dass der andere Trust-Path dort auch nicht validiert.
Na nicht ganz, aber da scheiden sich wohl die Geister
https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-enc ...
