SSL-Zertifikatsfehler/hinweise (Stapling + 404) [GELÖST]

[@ITS]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Jein. Betrifft Lets-Encrypt bei gewissen PHP-Interpreter - jedoch via KH installiert/verwaltet.

Server-Betriebssystem + Version
Debian 11.11

Eingesetzte Server-Virtualisierung-Technologie
Keine. Dedicated

KeyHelp-Version + Build-Nummer
25.3 (Build 3569)

Problembeschreibung / Fehlermeldungen

1.
Bei Domains kommen folgende Meldungen in den Apache-Logs.

Unable to configure certificate domain.tld:443:0 for stapling
ssl_stapling_init_cert: no OCSP URI in certificate and no SSLStaplingForceURL set [subject: CN=domain.tld / issuer: CN=R13,O=Let's Encrypt,C=US / serial: 06072BB631BE6183ED5E4A42223EEC480A99 / notbefore: Feb 16 22:02:57 2026 GMT / notafter: May 17 22:02:56 2026 GMT

2.
Bei 2 Domains kam letztens auch folgende E-Mail:

Order ended with status "404". Response: {
"type": "urn:ietf:params:acme:error:malformed",
"detail": "No order for ID 491943030041",
"status": 404
}
Valid until: 2026-04-15 00:05:35 (19 day(s) left)

Schritte zur Reproduktion
[edit] Sorry die Stapling Meldung betrifft wohl doch alle Domains, unabhängig vom Interpreter.

Zusätzliche Informationen

Soweit verstanden, findet es keine OCSP URI bzgl. Stapling, was zur Gültigkeits-Prüfung ist.
Evtl. durch unvollständige Zertifikatskette od. es liest nicht das volle Chain aus ?

Bis auf die letzten 2 KH-Update(s) sowie apt dist-upgrade wurden in letzter Zeit keine System-Änderungen vorgenommen.
Wobei eine E-Mail Meldung schon 1 Tag vor den Updates stattfand, sehe da denke keinen Zusammenhang.

SSL laufen aktuell und denke Stabling wäre vl. nicht so tragisch.
Bin jedoch unsicher ob sich die 2 Domains wo die 404er Info-Mail kam, verlängert werden.

Unter /keyhelp/vhosts/ Conf. ist das bei allen so hinterlegt.

# SSL
SSLEngine On
SSLCertificateFile /etc/ssl/keyhelp/letsencrypt/user/domain.tld/complete.pem
SSLCertificateChainFile /etc/ssl/keyhelp/letsencrypt/user/domain.tld/chain.pem

Habe wo gelesen, man könnte statt chain.pem auf die fullchain.pem ändern um dies zu lösen.
Das müsste ich dann aber, wenn es KH nicht autom. macht, überall manuell durchführen.


Es sind übrigens keine individuellen Apache Anweisungen bei den Domains hinterlegt.

Danke vorab.


[UPDATE]
Sorry gerade auch eine Domain mit PHP 7.4. entdeckt welche die Stapling-Warnung hat.
Also ist wohl egal welcher Interpreter.

[Jolinar]

Habe wo gelesen, man könnte statt chain.pem auf die fullchain.pem ändern um dies zu lösen.

Dann teste das doch mal manuell bei einer Domain.
Wenn es das Problem löst, werden die Dev's das sicher mit ins Panel integrieren.

[@ITS]

Update:
Es betrifft offenbar bzgl. Stapling nicht ein bestimmten Interpreter.
Hab's leider erst jetzt entdeckt, es kommt auch bei Domains mit PHP 7.4 vor und nach weiterer Einsicht wohl bei allen Domains mit Lets Encrypt vor.


Ja könnte ich bzw. kann ich dann noch versuchen.
Aber das sollte das Panel korrekt hinterlegen bzw. wäre es mir bisher nicht aufgefallen und müsste dann ggf. jeder haben.

Fraglich ist eher der 404er

Das Stapling könnte man ja auch auf OFF stellen (will ich aber natürlich nicht).

[mhagge]

Das hat nichts mit der PHP-Version zu tun, sondern damit, dass LetsEncrypt seit einiger Zeit OCSP mehr untersützt.

Siehe hier: viewtopic.php?t=13928

bzw. hier: https://letsencrypt.org/2024/12/05/ending-ocsp/

Wenn dann müsste man also Stapling in der Apache-SSL-Config deaktivieren (wobei es aber wohl auch noch SSL-Anbieter gibt, die das unterstützen, insofern kann man es schlecht generell entfernen und es ist imho auch immer noch der Apache-Standard, dass das gesetzt ist).

Man kann es aber auch einfach ignorieren, das ist eine Fehlermeldung der Kategorie "harmlos"

[@ITS]

Danke.
Hatte noch nicht explizit nach Stapling hier gesucht bzw. nur anderen Thread gefunden. Lese mir das dort noch durch.
Genau, soweit gesehen ist das nicht tragisch aber es verwunderte mich, da bisher wohl noch nicht gesehen.

Dann wäre eigentlich nur mehr der 404er Fehler, da hatte es wohl kein Zugriff zum LE Server und befürchte dass sich die dann nicht verlängern.