Seite 2 von 6 ErsteErste 1234 ... LetzteLetzte
Ergebnis 11 bis 20 von 51
  1. #11
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.587
    Zitat Zitat von pkambach Beitrag anzeigen
    ich habe hier zumindest auch Probleme bei mehreren Kunden - In der Zertifikatskette in Chrome z.B. steht das abgelaufene Root-Zertifikat drin (welche Version und OS es ist, weiß ich noch nicht).
    Soweit ich das sehe stimmt die Zertifikatskette. Ohne die Info welches OS das ist kann man leider nichts sagen.
    Falls es sich um ein Windows XP (vor SP3) oder gar etwas Älteres handelt, wird das nicht erkannt.
    https://letsencrypt.org/docs/certificate-compatibility/

    Workaround: das ISRG X1 Root manuell auf dem betroffenen Rechner installieren.
    Saubere Lösung: betroffenen Rechner grundsätzlich aktualisieren. ;-)
    (wenn der tatsächlich sooo alt ist dass er die Zertifikatskette nicht akzeptiert, dann ist SSL das geringste Problem...)

    Viele Grüße

    -Klaus Keppler

  2. #12
    Benutzer
    Registriert seit
    17.09.2013
    Beiträge
    35
    Hallo!

    Da gibt es nun folgende Rückmeldung zu:

    Chrome Version 94.0.4606.61, Betriebssystem OS X El Capitan Version 10.11.6

    VG
    Patrick Kambach

  3. #13
    Erfahrener Benutzer
    Registriert seit
    18.12.2012
    Beiträge
    133
    Bei uns ruckelt das Internet heute auch etwas (um heise.de mal zu zitieren)

    Die Probleme mit den Ablauf des LE Zertifikates scheinen doch größer zu sein als erwartet.
    Ein Muster in den betroffenen Geräten können wir nicht erkennen. Es sind aber in allen Fällen aktuelle Geräte mit aktueller Software!

    Eine Lösung die zumindest vereinzelt hilft, aber nicht praktikabel für große Massenupdates ist:
    Code:
    # Debian/Ubuntu
    # entfernt, weil Querwirkungen
    - Server neu starten (evtl. unnötig)
    - Zertifikat löschen und neu ausstellen

    Danach ist auch der Anzeige Fehler in LC behoben, bei dem jeweiligen Zertifikat.
    Geändert von TCRserver (01.10.2021 um 17:22 Uhr) Grund: Typo entfernt

  4. #14
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.587
    Zitat Zitat von pkambach Beitrag anzeigen
    Chrome Version 94.0.4606.61, Betriebssystem OS X El Capitan Version 10.11.6
    OS X 10.11 erhält seit September 2018 keine Updates mehr.
    Das ist also schlichtweg zu alt. :-(

    Im Prinzip gilt also (wie bei allen zu alten Systemen): ggf. das ISRG-Root-Zertifikat manuell auf dem Rechner installieren.

  5. #15
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.587
    Zitat Zitat von TCRserver Beitrag anzeigen
    Es sind aber in allen Fällen aktuelle Geräte mit aktueller Software!
    Bei aktuellen Geräten mit aktueller Software gibt es (zumindest was LiveConfig betrifft) definitiv keine Probleme.
    Ansonsten bitte konkrete Beispiele nennen (Betriebssystem, Version, konkrete Domain - gerne an support@liveconfig.com).

    Alle bei uns heute aufgeschlagenen Fälle lagen an zu alten Clients (wir hatten es heute schon mit Windows XP SP1 zu tun), nicht durch LiveConfig verwaltete Let's-Encrypt-Zertifikate (da wurde die CA-Chain nicht aktualisiert) oder veralteten Servern (Debian 8 mit OpenSSL 1.0.2 ist problematisch).

    Mit aktuellen Systemen ist uns bislang kein einziger Fall bekannt.

    Danach ist auch der Anzeige Fehler in LC behoben, bei dem jeweiligen Zertifikat.
    Dass LiveConfig Let's-Encrypt-Zertifikate derzeit als "abgelaufen" anzeigt ist ein lokales Problem, das gerade behoben wird (nur ein Darstellungsfehler, die Zertifikate an sich sind gültig und auch korrekt installiert).

    Viele Grüße

    -Klaus Keppler

  6. #16
    Erfahrener Benutzer
    Registriert seit
    18.12.2012
    Beiträge
    133
    Konkretes Beispiel aus unseren Support Tickets:
    Windows 10 20H2
    iPhone 12 (keine Ahnung welches OS)

    Aber es ist immer eine Drittsoftware im Spiel!
    Die vermutlich ggü. einer alten OpenSSL Bibliothek gelinkt ist.

    Und es trifft nicht LiveConfig! Sondern nur Webseiten! Also kein wirkliches LC Problem.

    Mein Workaround oben führt auch eher zu unerwünschten Querwirkungen und nicht ans Ziel.
    Warum auch immer es bei einem Kunden geholfen hat.

    Auf Serverseite können wir vermutlich echt nichts machen, außer eben von LE weg zu wechseln solange bis es sich beruhigt hat und die meisten Anwendungen aktualisiert wurden.

  7. #17
    Hier die kuriose Geschichte + Lösung von meinem Problem:

    Ausgangslage:
    Exchange-Server benutzt meinen Debian Liveconfig-Server mit LetsEncrypt als Smarthost (SMTP-Relay). Seit gestern blieben die Mails in der Queue vom Exchange mit "CertExpired" Fehler.

    Habe das Zertifikat in Liveconfig geprüft, neu erzeugt, etc. aber alles ok. Exchange geprüft etc, auch alles ok.
    Dann habe ich mir mal die Stammzertifikate vom Windows Server angeguckt und siehe da, völlig veraltet und "ISRG Root X1" fehlte. Aber warum, sollten sich ja automatisch aktualisieren. Einstellungen durchsucht, nix gefunden.
    Also mal testweise per Internet Explorer auf meinen Liveconfig Webserver. Dürfte ja auch nicht laden. Aber die Seite lädt, Zertifikat, als auch der Pfad sind ok. Ich zurück zu den Stammzertifikaten und siehe da, alle aktualisiert.

    Mein Fazit, surfe regelmässig auf Windows Servern mit dem Internet-Explorer, damit die Stammzertifikate akutell gehalten werden...

  8. #18
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.587
    Zitat Zitat von TCRserver Beitrag anzeigen
    Aber es ist immer eine Drittsoftware im Spiel!
    Die vermutlich ggü. einer alten OpenSSL Bibliothek gelinkt ist.
    Das ist durchaus möglich, OpenSSL 1.0.2 ist seit Ende 2019 "End-Of-Life" (= keine Updates mehr), und verhält sich bei der Prüfung des Zertifikatpfades möglicherweise anders als erwartet:
    https://www.openssl.org/blog/blog/20...ootCertExpire/

  9. #19
    Erfahrener Benutzer
    Registriert seit
    18.12.2012
    Beiträge
    133
    Nach einer langen Debug Nacht bin ich einen Schritt weiter aber habe noch keine Lösung!

    Ein simpler CURL Test zeigt auf, dass ein Teil unsere Server ein Problem mit dem ISRG Root X1 Zertifikat hat.
    Alle Server sind dank SaltStack absolut identisch! Aber trotzdem haben einige Server das Problem, dass sie das neue Zertifikat nicht nutzen.

    Der Fehler äußert sich zum Bsp. darin, dass roundcube keine Verbindung mit dem Mailserver herstellen kann.
    (Dazu muss natürlich der Mailserver mit einem LE Zertifikat abgesichert sein. Wird ein alternatives Zert. verwendet, funktioniert es wieder.)
    Log von RC:
    Code:
    SMTP Error: Connection failed: Failed to connect socket: fsockopen(): unable to connect to ssl://smtp.domain.de:465 (Unknown error)
    Test mit CURL auf valid-isrgrootx1.letsencrypt.org
    Code:
    # curl -v https://valid-isrgrootx1.letsencrypt.org/
    
    *   Trying 52.9.173.94...
    * TCP_NODELAY set
    * Expire in 200 ms for 4 (transfer 0x558e85b2afb0)
    * Connected to valid-isrgrootx1.letsencrypt.org (52.9.173.94) port 443 (#0)
    * ALPN, offering h2
    * ALPN, offering http/1.1
    * successfully set certificate verify locations:
    *   CAfile: none
      CApath: /etc/ssl/certs
    * TLSv1.3 (OUT), TLS handshake, Client hello (1):
    * TLSv1.3 (IN), TLS handshake, Server hello (2):
    * TLSv1.2 (IN), TLS handshake, Certificate (11):
    * TLSv1.2 (OUT), TLS alert, certificate expired (557):
    * SSL certificate problem: certificate has expired
    * Closing connection 0
    curl: (60) SSL certificate problem: certificate has expired
    More details here: https://curl.haxx.se/docs/sslcerts.html
    Testschritt 2 - kann OpenSSL auf das Zertifikat zugreifen:
    Code:
     # openssl x509 -in ISRG_Root_X1.crt -noout -text
    Can't open ISRG_Root_X1.crt for reading, No such file or directory
    140091262317696:error:02001002:system library:fopen:No such file or directory:../crypto/bio/bss_file.c:69:fopen('ISRG_Root_X1.crt','r')
    140091262317696:error:2006D080:BIO routines:BIO_new_file:no such file:../crypto/bio/bss_file.c:76:
    unable to load certificate
    >> NEIN

    Ist das System kompatibel?
    Code:
    # openssl version
    OpenSSL 1.1.1d  10 Sep 2019
    OpenSSL >= 1.1 wird als kompatibel gelistet

    Code:
    # cat /etc/*release
    PRETTY_NAME="Debian GNU/Linux 10 (buster)"
    NAME="Debian GNU/Linux"
    VERSION="10 (buster)"
    
    # apt list --installed ca-certificates
    ca-certificates... 20200601~deb10u2 all  [installiert]
    Aktuelles CA Bundle ist installiert

    Einmal checken ob das Zertifikat via dpkg konfiguriert wurde (* beim entsprechenden Zertifikat)
    Code:
    # dpkg-reconfigure ca-certificates
    >> JA

    Ist das ISRG Root X1 Zertifikat auch wirklich installiert?!
    Code:
    # awk -v cmd='openssl x509 -noout -subject' '
        /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt
    ...
    Subject: O = Digital Signature Trust Co., CN = DST Root CA X3
    ...
    subject=C = US, O = Internet Security Research Group, CN = ISRG Root X1
    ...
    >> JA

    Ist das Zertifikat auch wirklich in /etc/ssl/certs/ca-certificates.crt enthalten?
    Code:
    grep 'MIIFazCCA1OgAwIBAgIRAIIQz7DSQONZRGPgu2OCiwAwDQYJKoZIhvcNAQELBQAw' /etc/ssl/certs/ca-certificates.crt
    >> Ja

    Und jetzt gehen mir im Moment die Ideen aus.

  10. #20
    Erfahrener Benutzer
    Registriert seit
    18.12.2012
    Beiträge
    133
    Für Windows 10 Clients die Probleme mit dem neuen Zertifikat haben, weil nicht installiert, gibt es inzwischen eine simple Lösung:

    Mit dem Edge Browser (!!!) die Seite https://valid-isrgrootx1.letsencrypt.org/ ansurfen.
    Dabei wird automatisch ein Update der CAs in Windows getriggert.

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •