CACert Let´s Encrypt Fehler  [GELÖST]

nixeifoit
Posts: 13
Joined: Tue 24. Mar 2020, 13:20

CACert Let´s Encrypt Fehler

Post by nixeifoit »

Hallo zusammen,

wie vielen von Euch bekannt sein dürfte - ist eines der ROOT CA von Let´s Encrypt gestern abgelaufen.
Nun gibt es mit einigen Wordpress Installationen probleme.

Was ist der konkrete Fehler: cURL error 60: SSL certificate problem: certificate has expired (see http://curl.haxx.se/libcurl/c/libcurl-errors.html)

Was habe ich bereits versucht: DST Root CA X3 entfernt, neue LE Zertifikate für Domain sowie Serverdienste via LE ausgestellt.

Bei Überprüfung fällt auf, dass anscheinend noch immer die alte Zertifikatskette vorhanden ist (siehe Anhang)

Habt Ihr eine Idee wie ich das lösen kann? Oder liegt es gar nicht an den Zertifikaten auf meiner Seite, sondern am gegenüber (Server von Plugin, Theme,...)?

OS: Debian 11 (Stable - vorher Debian 10, mittels Update-Skript von KeyHelp auf 11) - KeyHelp 21.2.

Danke im Voraus.
Attachments
curl-error-60.png
User avatar
ramfresser
Posts: 46
Joined: Fri 29. Jan 2016, 17:50
Location: Ibbenbüren
Contact:

Re: CACert Let´s Encrypt Fehler

Post by ramfresser »

Hallo

Das habe ich gestern von meinem Programmierer zuhören bekommen.

Wüsste gerne was das für die Zukunft heißt und was wir als Webseiteninhaber deswegen machen müssen?

LG Patrick
Freundliche Grüße
Patrick Popelka
Verein für Angehörige von psychisch und körperlich Erkrankten e.V.
https://www.vapke.de
______________________________
Keywebsüchtiger sei dem 14.11.2005 :roll:
nixeifoit
Posts: 13
Joined: Tue 24. Mar 2020, 13:20

Re: CACert Let´s Encrypt Fehler

Post by nixeifoit »

Eigtl. betrifft es nicht den Webseiteninhaber, sondern den "Serverbetreiber - Hoster"! Ein neu erstellen der Zertifikate sollte das Problem "eigentlich" lösen.

Es scheint mir aber so, als ob beim Ausführen von --force-ssl-maintenance, zwar neue Zertifikate über LE bezogen werden, aber in der Zeichenkette des Zertifikates noch immer die ungültige CA inkludiert wird.

Vllt. kann hier einer der Entwickler mehr Infos geben. Update von KeyHelp - oder ein Work-Around wie man das Problem lösen könnte.

Danke.
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: CACert Let´s Encrypt Fehler

Post by OlliTheDarkness »

Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
Alexander
Keyweb AG
Posts: 3814
Joined: Wed 20. Jan 2016, 02:23

Re: CACert Let´s Encrypt Fehler  [GELÖST]

Post by Alexander »

Zunächst einmal, betroffen von dieser Thematik sind nur alte Clients.

nixeifoit wrote:Es scheint mir aber so, als ob beim Ausführen von --force-ssl-maintenance, zwar neue Zertifikate über LE bezogen werden, aber in der Zeichenkette des Zertifikates noch immer die ungültige CA inkludiert wird.
Sämtliche Zertifikate / CA-Zertifikate etc. kommen im Moment des Austellens von Seiten der Let's Encrypt-Zertifizierungstelle. Hier wird seitens KeyHelp nichts weiter inkludiert oder Ähnliches.
Die Let's Encrypt-Zertifizierungstelle liefert auch noch weiterhin (vor 5 min getestet) das abgelaufene und somit Fehler verursachende Zertifikat "DST Root CA X3" aus.

Meiner Meinung nach muss wenn dann eine Lösung von der Zertifizierungsstelle kommen (eher unwahrscheinlich), weil es keinen Punkt gibt, an dem KeyHelp ansetzen könnte (siehe oben, alles kommt in dem Moment von der Zertifizierungsstelle).

Ich könnte hier nur einen Quick & Dirty Fix liefern, bis sich die Zertifizierungstelle vielleicht zu der ganzen Thematik noch einmal äußert -> hier würde ich aber nicht damit rechnen, da sie den Fall vor einiger Zeit bereits angekündigt haben.


Quick & Dirty Lösung (Funktioniert natürlich nur bis zum nächsten Renew nach 60-90 Tagen)

Das ist das "böse" Zertifikat: "DST Root CA X3"

Code: Select all

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
(Hier seht ihr den Inhalt: https://www.sslshopper.com/certificate-decoder.html)

Dieses findet sich in mehreren Dateien.

/etc/ssl/keyhelp/letsencrypt/<USERNAME>/<DOMAIN>/chain.pem:
/etc/ssl/keyhelp/letsencrypt/<USERNAME>/<DOMAIN>/complete.pem
/etc/ssl/keyhelp/letsencrypt/<USERNAME>/<DOMAIN>/fullchain.pem

Wenn es aus diesen Dateien (steht jeweils ganz am Ende) entfernt wird und anschließend der Webserver neu gestartet wird, dann zeigt https://www.ssllabs.com/ dann keine Probleme mehr im zweiten Zertifikats-Pfad an.

Bei Änderungen in "/etc/ssl/keyhelp/letsencrypt/keyhelp/" muss zusätzlich noch die Email-Server-Dienste + FTP-Server neu gestartet werden.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
ramfresser
Posts: 46
Joined: Fri 29. Jan 2016, 17:50
Location: Ibbenbüren
Contact:

Re: CACert Let´s Encrypt Fehler

Post by ramfresser »

Hallo

Bitte die Übersetzung für uns einfache Kunden, die keine Profis sind.

Müssen wir reagieren und was ändern und wenn ja was oder können wir abwarten und alles klärt sich von alleine?

Dankeschön.

LG Patrick
Freundliche Grüße
Patrick Popelka
Verein für Angehörige von psychisch und körperlich Erkrankten e.V.
https://www.vapke.de
______________________________
Keywebsüchtiger sei dem 14.11.2005 :roll:
User avatar
Alexander
Keyweb AG
Posts: 3814
Joined: Wed 20. Jan 2016, 02:23

Re: CACert Let´s Encrypt Fehler

Post by Alexander »

Wie gesagt
Alexander wrote:Zunächst einmal, betroffen von dieser Thematik sind nur alte Clients.
Hast du Kunden/Dienste die betroffen sind?

-> Wenn nein -> Du brauchst nichts zu unternehmen

-> Wenn ja -> Ist ein Update der Client-Software eine Option -> Wenn nein -> Dann möchtest du ggf. reagieren.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Re: CACert Let´s Encrypt Fehler

Post by tab-kh »

Bei mir funktioniert das in den Browsern (Firefox, Chrome) ohne Probleme. Dass das ausgelaufene Zertifikat noch ausgeliefert wird könnte vielleicht wegen der Kompatibilität mit älteren Geräten passieren, also absichtlich. Da soll es wohl irgendein "Intermediate-Zertifikat" geben, damit ältere Geräte dem abgelaufenen Zertifikat weiterhin vertrauen und weiter funktionieren. Insofern könnte es eventuell möglich sein, dass sich an der Auslieferung des "bösen" Zertifikats so schnell auch nichts ändert. Das mag aber auch völlig falsch sein, auf dem Gebiet habe ich nicht mal Halbwissen.

Ärger macht bei mir der Nextcloud-Client unter Windows 10, das ist bisher das einzige Problem, das ich momentan noch damit habe, sowohl mit der Cloud auf meinem Server mit Keyhelp als auch mit der bei einem Webhoster. Müsste das dann auf Windows-Ebene gefixt werden? Falls ja, hätte ich die notwendige Änderung eigentlich allerspätestens mit dem letzten Windows-Update erwartet.

Edit: Das Löschen des "bösen" Zertifikats aus den oben von Alexander angegebenen Dateien mit nachfolgendem Neustart des Servers hat bei mir das Problem mit dem Nextcloud-Client auf meinem eigenen Server gelöst. An die beiden anderen komme ich aber nicht dran, da muss ich dann wohl ein Ticket an den Hoster schreiben. Oder denkt ihr, dass hier wirklich eine Änderung seitens LE halbwegs zeitnah zu erwarten ist?

Code: Select all

Kann keine sichere Verbindung zu cloud.example.com herstellen:
Das Zertifikat des Ausstellers eines lokal gefundenen Zertifikats konnte nicht gefunden werden
mit Zertifikat ISRG Root X1
Organisation: Internet Security Research Group
Einheit: <nicht angegeben>
Land: US
Fingerabdruck (SHA-256): 6d:99:fb:26:5e:b1:c5:b3:74:47:65:fc:bc:64:8f:3c:d8:e1:bf:fa:fd:c4:c2:f9:9b:9d:47:cf:7f:f1:c2:4f
Fingerabdruck (SHA-512): 7a:dc:2b:5f:11:e5:d1:2d:f7:ad:b6:ce:e9:5e:04:f7:ec:a7:14:40:4b:ff:58:84:9a:36:0b:91:0f:3a:fb:dc:37:23:5c:dd:99:e3:3b:4e:82:ef:ee:e1:6d:59:85:73:a4:e3:46:e0:a6:bd:c4:1f:70:b3:60:3c:6f:43:24:fa

Datum des Inkrafttretens: Mi Jan 20 19:14:03 2021 GMT
Ablaufdatum: Mo Sep 30 18:14:03 2024 GMT
Aussteller: DST Root CA X3
Organisation: Digital Signature Trust Co.
Einheit: 
Land: 
Last edited by tab-kh on Fri 1. Oct 2021, 13:46, edited 1 time in total.
nixeifoit
Posts: 13
Joined: Tue 24. Mar 2020, 13:20

Re: CACert Let´s Encrypt Fehler

Post by nixeifoit »

Alexander wrote: Fri 1. Oct 2021, 12:32
Sämtliche Zertifikate / CA-Zertifikate etc. kommen im Moment des Austellens von Seiten der Let's Encrypt-Zertifizierungstelle. Hier wird seitens KeyHelp nichts weiter inkludiert oder Ähnliches.
Die Let's Encrypt-Zertifizierungstelle liefert auch noch weiterhin (vor 5 min getestet) das abgelaufene und somit Fehler verursachende Zertifikat "DST Root CA X3" aus.
Hallo Alexander,

vielen Dank für Deine ausführliche Aufarbeitung der Problematik und Bestätigung meines Verdachtes das es noch an Let´s Encrypt liegt.

Anscheinend sollte mit Verwendung der v2 Api dies eigtl. nicht passieren - deshalb verwundert dies, dass die das nicht hinbekommen. Oder kann es mit den HSTS Settings pro Domain zu tun haben, dass die API dies nicht anerkennen will?

LG
User avatar
Alexander
Keyweb AG
Posts: 3814
Joined: Wed 20. Jan 2016, 02:23

Re: CACert Let´s Encrypt Fehler

Post by Alexander »

KeyHelp benutzt seit 2019 die v2 der Let's Encrypt API. Keine Ahnung ob die alte überhaupt noch erreichbar ist.
Aber ob nun v1 oder v2 sollte eigentlich keinen unterschied machen (Hab die Spezifikationen der alten aber auch nicht mehr im Kopf).
Auch sind die Server-Einstellungen nicht relevant. (Wenn du andere Informationen hast, nur raus damit ;) )

Das man das abgelaufene "DST Root CA X3" noch mit ausliefert, liegt wahrscheinlich daran, da es dann doch die Kompatibilität mit einigen Android Alt-Geräten sicherstellt. Wenn man es wahrscheinlich nicht ausliefern würde, gäbe es noch mehr Beschwerden.

Aktuell wird das neue root Zertifikat "ISRG Root X1" und das alte "DST Root CA X3" ausgeliefert. Veraltete Client-Software kennt das neue root Zertifikat nicht, sondern nur das alte. Sie ignorieren also das neue und prüfen nur das alte Zertifikat, sehen das es abgelaufen ist und verkünden eine Zertifikats-Warnung.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
Alexander
Keyweb AG
Posts: 3814
Joined: Wed 20. Jan 2016, 02:23

Re: CACert Let´s Encrypt Fehler

Post by Alexander »

tab-kh wrote: Fri 1. Oct 2021, 13:14Oder denkt ihr, dass hier wirklich eine Änderung seitens LE halbwegs zeitnah zu erwarten ist?
Ich halte es leider für äußerst unwahrscheinlich. Eben weil Sie es angekündigt haben: https://letsencrypt.org/docs/dst-root-c ... mber-2021/

Vielleicht hatte man nicht in dem Ausmaß mit Problemen gerechnet, aber ich glaub nicht das sie auf irgendeine Art zurückrudern werden.
Aber warten wir mal gespannt ab ;).
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Re: CACert Let´s Encrypt Fehler

Post by tab-kh »

Ich habe jetzt das Problem mit dem Nextcloud Client auch auf Windows-Ebene (hoffentlich) gelöst. Ich hoffe, mir fliegen da keine Anwendungen um die Ohren :roll:. Und zwar habe ich unter Windows 10 certmgr.msc aufgerufen und dort unter "Vertrauenswürdige Stammzertifizierungsstellen->Zertifikate" das Zertifikat "DST Root CA X3" gesucht und in den Ordner "Nicht vertrauenswürdige Zertifikate" gezogen. Danach verbindet der Client dann auch wieder mit den beiden anderen Clouds. Aber ich kann nicht garantieren, dass das nicht irgendwas anderes zerschießt.
User avatar
Alexander
Keyweb AG
Posts: 3814
Joined: Wed 20. Jan 2016, 02:23

Re: CACert Let´s Encrypt Fehler

Post by Alexander »

Hört sich nach einer Guten Lösung an.
Das "DST Root CA X3" ist nun mal faktisch abgelaufen und auch von anderen Anwendungen, die ggf. darauf zurück gegriffen hätten, müsste eine Fehlermeldung ausgelöst werden. Von daher, alles richtig gemacht.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
MLan
Posts: 466
Joined: Wed 20. Sep 2017, 23:05
Location: @home

Re: CACert Let´s Encrypt Fehler

Post by MLan »

@Alex
kannst du da nicht auf die Schnelle etwas zusammenfriemeln, damit das alte DST Root CA X3 bei Ausstellung
oder idealerweise bei den bereits ausgestellten herausgeschnitten wird ?

Mir sind da jetzt auch schon 2 ältere Exchange Server über den Weg gelaufen, die ihre Mails nicht mehr einliefern konnten.(certificate expired)


Gruß Mlan
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: CACert Let´s Encrypt Fehler

Post by Florian »

Hallo,

es gibt zahlreiche Anleitungen wie man bei Exchange bzw. Windows den Zertifikatsspeicher anpasst aufgrund dieses Problems. Da muss der Admin tätig werden. Das ist primär ein Problem der Software, die dieses CA noch nutzt.
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Locked