Ergebnis 1 bis 5 von 5
  1. #1
    Erfahrener Benutzer
    Registriert seit
    09.07.2012
    Ort
    Spanien
    Beiträge
    300

    Ausrufezeichen DST Root CA X3 wird am 30. September ablaufen.

    Wie verhindern wir, dass es dabei zu Problemen kommt? Hilft es, das Zertifikat zu löschen und ein neues zu erstellen? Wird Liveconfig rechtzeitig ein Tool zur Massenaktualisierung bereitstellen?

    https://techcrunch.com/2021/09/21/le...t-root-expiry/

  2. #2
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.587
    Zitat Zitat von ñull Beitrag anzeigen
    Wie verhindern wir, dass es dabei zu Problemen kommt?
    Nach unserem aktuellen Kenntnisstand gibt es keinen Handlungsbedarf.

    Seit 04. Mai 2021 stellt Let's Encrypt die Zertifikate standardmäßig so aus, dass in der CA-Chain auch das Zwischenzertifikat "DST Root CA X3" enthalten ist (siehe Ankündigung). Man kann das z.B. mit unserem SSL-Check prüfen - etwa für demo.liveconfig.com.

    Somit sollen auch ältere Android-Geräte keine Sicherheitswarnung anzeigen.

    Es besteht also kein Grund, Zertifikate neu auszustellen.

  3. #3
    Erfahrener Benutzer
    Registriert seit
    07.04.2011
    Beiträge
    802
    Kann ich so bestätigen: in LiveConfig gibt's dahingehend keine Probleme, die letzten Renews haben allesamt das neue Root dabei.

    Probleme gibt es nur, wenn das alte CA-Zertifikat gecached wird. Kann bei dehydrated/certbot passieren.

  4. #4
    Benutzer
    Registriert seit
    21.07.2012
    Beiträge
    89
    Es scheint mir als haette das LiveConfig-Backend ("SSL-Zertifikate") den abgelaufenen Teil der Kette zum Anlass genommen alle Letsencrypt-Zertifikate als "abgelaufen" zu markieren (Kalender-Icon neben dem Ablaufdatum). Zu Schaden hat dies bisher nicht gefuehrt. Ich konnte es aber auf mehreren Systemen mit unabhaengigen Alter verfolgen. Ist es richtig, dass LiveConfig seine eigene libssl mitbringt? Bedient sich LiveConfig aus dem allg. Truststore der Distribution? Gibt es einen Weg, wie ich das Flag wieder umwerfe oder LiveConfig zu einer erneuten Pruefung der Zertifikate auffordern kann? Wenn ich ein Zertifikat neu ausstellen lasse, dann verschwindet der Hinweis. Die Kette im Zertifikat sieht daraufhin aber unveraendert aus.

  5. #5
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.587
    siehe https://www.liveconfig.com/de/forum/...9244#post19244

    Wir suchen nun nach der genauen Ursache, ich vermute dass LiveConfig noch das "alte" Intermediate-Zertifikat im Cache hat und dieser Pfad nun "expired" ist.

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •