Für Let's Encrypt-Nutzer...



-------- Weitergeleitete Nachricht --------
Betreff: [LUGT] Alte letsencrypt-Root-CA lief heute aus, Debian Stretch und älter trauen letsencrypt-Zertifikaten nicht mehr
Datum: Thu, 30 Sep 2021 19:47:02 +0200
Von: Christoph Lechleitner <christoph.lechleitner@iteg.at>
Antwort an: linuxusergrouptirol@googlegroups.com
An: LUGT (Google Groups) <linuxusergrouptirol@googlegroups.com>
Kopie (CC): admin@iteg.at <admin@iteg.at>


Servus!

Zur Info bzw. Warnung falls auf etwas älteren Systemen evtl. unerwartete Probleme mit HTTPS-Client-Anfragen durch Webbrowser, cronjobs, Anfragen an fremde Datenquellen usw. auftreten:

Debian Jessie und Stretch (und vermutlich auch ältere Ubuntus usw.) trauen den meisten letsencrypt-Server-Zertifikaten seit heute nicht mehr, weil ...

1. letsencrypt's alte RootCA abgelaufen ist, siehe https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

2. wegen Android-Clients default immer noch dieses mit-verwendet wird, vgl."New Default Chain" auf https://letsencrypt.org/2020/12/21/extending-android-compatibility.html

3. Implementierungen von SSL-Client-Libraries bei CA-Chains nicht immer alle der gleichen Meinung waren, z.b. bezüglich Issuer-DN vs. Fingerprint(wenn es 2 bekannte CAs mit identischem DN aber unterschiedlichem Issuer gibt) und auch bezüglich dem Vertrauen in Zwischen-CAs bei abgelaufenerRootCA

Seit Mitte Jänner 2021 unterstützt der Standard-certbot nach Diskussion in https://github.com/certbot/certbot/issues/8577 auch die "Alternative Chain" mit self-signed "ISRG Root X1" als einziger CA, aber diese Variante dieses certbot-Features ist nur in den allerneuesten Major Releases derLinux-Distributionen drin, und nur ein Teil der älteren Clients vertraut dieser CA, es kann also sein dass manche ältere HTTPS-Clients bzw.-Systeme trotzdem scheitern.

Mag sein dass ich da im Detail jetzt noch was falsch verstehe oder erzähle, aber ich hab' da jetzt über 2 Stunden reingesteckt und vielleicht hiflt's jemandem bei der Fehlersuche und -Behebung ...

lg Christoph


-- 

Christoph Lechleitner

Geschäftsführung

------------------------------------------------------------------------
ITEG IT-Engineers GmbH | Salurner Straße 18, A-6020 Innsbruck
FN 365826f | Handelsgericht Innsbruck | Mobiltelefon: +43 676 3674710
Mail: christoph.lechleitner@iteg.at | Web: http://www.iteg.at/
------------------------------------------------------------------------


-- 
Tipp: Stammtischkalender (Google-Kalender) "linuxusergrouptirol@gmail.com" in die eigene Terminverwaltung einbinden. Siehe: http://www.lugt.at/p/stammtisch.html
--- Sie erhalten diese Nachricht, weil Sie Mitglied der Google Groups-Gruppe "Linux User Group Tirol" sind.
Wenn Sie sich von dieser Gruppe abmelden und keine E-Mails mehr von dieser Gruppe erhalten möchten, senden Sie eine E-Mail an linuxusergrouptirol+unsubscribe@googlegroups.com.
Besuchen Sie https://groups.google.com/d/msgid/linuxusergrouptirol/381344b3-c1af-3080-2528-695611278edb%40iteg.at, um diese Diskussion im Web anzuzeigen.