Für Let's Encrypt-Nutzer...
-------- Weitergeleitete Nachricht --------
und älter trauen letsencrypt-Zertifikaten nicht mehr
Antwort an: linuxusergrouptirol(a)googlegroups.com
Kopie (CC): admin(a)iteg.at <admin(a)iteg.at>
Servus!
Zur Info bzw. Warnung falls auf etwas älteren Systemen evtl. unerwartete
Probleme mit HTTPS-Client-Anfragen durch Webbrowser, cronjobs, Anfragen
an fremde Datenquellen usw. auftreten:
Debian Jessie und Stretch (und vermutlich auch ältere Ubuntus usw.)
trauen den meisten letsencrypt-Server-Zertifikaten seit heute nicht
mehr, weil ...
1. letsencrypt's alte RootCA abgelaufen ist, siehe
2. wegen Android-Clients default immer noch dieses mit-verwendet wird,
vgl."New Default Chain" auf
3. Implementierungen von SSL-Client-Libraries bei CA-Chains nicht immer
alle der gleichen Meinung waren, z.b. bezüglich Issuer-DN vs.
Fingerprint(wenn es 2 bekannte CAs mit identischem DN aber
unterschiedlichem Issuer gibt) und auch bezüglich dem Vertrauen in
Zwischen-CAs bei abgelaufenerRootCA
Seit Mitte Jänner 2021 unterstützt der Standard-certbot nach Diskussion
in Providing different alternate chain selection methods · Issue #8577 · certbot/certbot · GitHub auch die "Alternative
Chain" mit self-signed "ISRG Root X1" als einziger CA, aber diese
Variante dieses certbot-Features ist nur in den allerneuesten Major
Releases derLinux-Distributionen drin, und nur ein Teil der älteren
Clients vertraut dieser CA, es kann also sein dass manche ältere
HTTPS-Clients bzw.-Systeme trotzdem scheitern.
Mag sein dass ich da im Detail jetzt noch was falsch verstehe oder
erzähle, aber ich hab' da jetzt über 2 Stunden reingesteckt und
vielleicht hiflt's jemandem bei der Fehlersuche und -Behebung ...
lg Christoph
attachment.htm (5.81 KB)