Let's Encrypt Probleme 2025-05?

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 51190

17.06.2025 - 10:04

ACME auf einem anderen Server laufen lassen und die Certs dann verteilen?

GrandAdmiralThrawn

Lord of Derailment

Registered: Aug 2000
Location: BRUCK!
Posts: 3816

18.06.2025 - 14:38

Ok jo, könnt man machen, z.B. auf meinem Raspberri Pi der daneben herumliegt, aber zurerst Mal hole ich mir die neueste Version vom Crypt::LE Client, und probier's mit dem aus.

davebastard, du schreibst es könnten zwei in der Chain sein. Aber wie reihe ich die dann? R10 vor R11 oder R11 vor R10? Oder ist das wurscht?

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 51190

18.06.2025 - 15:37

Wenn beide in der Chain sind müsste die Reihenfolge egal sein

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12757

19.06.2025 - 00:54

denke ich auch,
ich hab das selbst nie probiert ich überlass das dem acme client.. hab das nur geschrieben wei in dem verlinkten artikel steht

Zitat
When an ACME client downloads a newly-issued certificate from Let’s Encrypt’s ACME API, that certificate comes as part of a “chain” that also includes one or more intermediates. Usually this chain consists of just the end-entity certificate and one intermediate, but it could contain additional intermediates.[...]

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12215

19.06.2025 - 10:39

Zitat aus einem Post von Viper780
Wenn beide in der Chain sind müsste die Reihenfolge egal sein

Das ist bzw. war mit OpenSSL zumindest historisch tatsaechlich eine Frage der Software, und wie den ihren CTX konfiguriert/initialisiert. Also ist schon vorstellbar, dass es da Befindlichkeiten gibt, dass z. B. im PEM die Intermediates absteigend sortiert vor oder aufsteigend sortiert nach dem Leaf notiert sein muessen.

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19889

19.06.2025 - 11:28

Warum würde man das machen, warum überprüft man bei einem Check nicht einfach alle darin befindlichen Certs ob irgendeines davon passt ugly

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12215

19.06.2025 - 11:38

Gibt imho nur drei gute Erklaerungen: Faulheit, Unwissenheit, oder Bosheit

Performance koennte man evtl. noch argumentieren, weil es hindert dich in der Theorie ja nichts daran, 1000e Zertifikate in ein PEM-File zu klopfen - soll die Software dann wirklich einen vollstaendigen Graphen aus alles darin abgelegten Zertifikaten bauen, um die richtigen Chains an deine Leafs zu bringen? Imho nein - das kann man dem sysop schon abverlangen, dass der seinen Schluessel- und Zertifikatskram halbwegs in Ordnung hat.

othan

Layer 8 Problem

Registered: Nov 2001
Location: Switzerland
Posts: 4254

04.07.2025 - 11:38

Heute erneuert, die neuen laufen über R11, die alten über R10...

GrandAdmiralThrawn

Lord of Derailment

Registered: Aug 2000
Location: BRUCK!
Posts: 3816

24.07.2025 - 14:10

So, habe mich selbst jetzt eine Weile nicht gemeldet, weil viel los war bei mir (und NICHTS davon war gut), unter anderem ist die Systemplatine meines 29 Jahre in Betrieb befindlichen Servers gestorben. Der sekundäre PCI Buskontroller hat die Grätsche gemacht, womit der Kernel einen entsprechenden Non-Maskable Interrupt erhält sobald er auf den Bus zugreifen will. Der ist komplett tot, auf dem POSTen auch keine SCSI, PXE oder VGA BIOSes mehr.

Endlich eine Platine gefunden, die wenigstens so halb funktioniert... Einen Schatten hat die auch, nur mehr 2 statt 4 CPUs, weil das zweite Riserboard als fehlerhaft erkannt wird.

So, aber jetzt zurück zu SSL.

Ich check's noch immer ned. Das Interweb und die KIs sagen mir, die Cert Order müsse in der PEM Chaindatei wie folgt aus sehen:

0: Ganz oben das Leaf / Server Cert
1: In der Mitte alle Intermediate Certs in irgendeiner Order
3: Ganz unten das Root, das die Intermediates gezeichnet hat

So aber funktioniert es bei mir überhaupt nicht. Da kann mein Client ned Mal verbinden.

Also so probiert:

0: Root (X1)
1: Intermediates (R10 & R11)
2: Leaf

So verbindet er mich, warnt aber: "Server sent unsorted certificate chain in violation of the TLS specifications". Aktuell ist das Leaf von R10 signiert. Also noch folgendes händisch probiert:

0: Root (X1)
1: Intermediate (R10 only)
2: Leaf

Mit dieser Chain funktioniert es sang- und klanglos. Keine Fehler, keine Warnungen, es geht einfach.

Also die folgende Struktur...

...funktioniert bei mir nicht so ganz, da kommt die "unsorted certificate chain" Warnmeldung. Seit kurzem (weil Updates) wertet die Software das sogar als Grund die Connection ganz fallen zu lassen. Etwas ältere Versionen (FileZilla) wertens noch als Warnung.

Also die Idee dem Leaf quasi zu sagen "such dir halt dein passendes Intermediate im Chainfile" scheint nicht zu funktionieren...

Bearbeitet von GrandAdmiralThrawn am 24.07.2025, 14:12

othan

Layer 8 Problem

Registered: Nov 2001
Location: Switzerland
Posts: 4254

24.07.2025 - 14:32

/offtopic:
Alles Gute für deinen Server, hoffe der läuft bald wieder im Vollausbau.
Wäre schade, auch wenn wahrscheinlich jedes Raspberry Pi mehr Rechenleistung hat.

GrandAdmiralThrawn

Lord of Derailment

Registered: Aug 2000
Location: BRUCK!
Posts: 3816

24.07.2025 - 16:29

Ich tue was ich kann!

Downtimes werde ich dafür primär auf diverse Sonntage platzieren, weil da hat die Welt in der Regel eh andere Sachen zu tun, als Dienste von XIN.at zu konsumieren.

Zum Pi, das läßt sich experimentell anhand des von mir selbst gebauten [x264 Benchmarks] nachweisen. Der schnellste Raspberry Pi in der Liste ist - und jetzt kommt der Jaw-Drop - 133 Mal (!) schneller als dieses Quadsockel 500-Watt-System aus den Mittneunzigern. Und das schon mit Pentium II Overdrives, also mit 333 MHz CPUs aus dem Jahre 1998, wir reden hier nicht von Klamath sondern schon von Deschutes Kernen...

Also, der Speed mit dem sich die PC Welt in den 90ern bewegt hat, das sehen wir so wohl nie wieder. Das war Wahnsinn.

Zu Let's Encrypt: Gibt's jetzt eine reale "Magic Sauce", wo ich sage, ich haue alle Roots und Intermediates rein, und mein Whatever-it-is-right-now-Leaf, und es funktioniert einfach? Und wenn ja; Wie? Weil wie gezeigt geht es ja NED.

Oder muß ich mir das selber scripten? Oder MUSS das der ACMEv2 Client regeln?

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 51190

24.07.2025 - 20:36

Theoretisch regelt das der ACME Client und die Reihenfolge und der Aufbau ist (mehr oder weniger) egal.

In der Praxis sind viele clients unterwegs die mit mehreren Intermediates nichts anfangen können oder immer den ersten wählen.
Colo hats oben eh schön ausgeführt

Alles Gute für XIN.at
h264 Benchmarks mit modernen CPU sind aber unfair (außer das System macht nichts anderes)

GrandAdmiralThrawn

Lord of Derailment

Registered: Aug 2000
Location: BRUCK!
Posts: 3816

25.07.2025 - 11:23

Also was ich jetzt gesehen habe kann ich bei Crypt::LE zwischen den Root X1 und Root X2 Pfaden wechseln, das kann er. Aber welches Intermediate er dann spezifisch wählen soll kann ich ihm nicht vorgeben. Er hat zufällig heute wieder aktualisiert, und wieder isses R10 geworden. Ich stelle mein Renewal Shellscript jetzt einfach auf R10 um.

Und dann muß ich halt schauen wie ich mit OpenSSL auf der CLI beim Leaf Zert das zeichnende Intermediate auslesen kann, dann branche ich das Ausrollen halt auf zwei Codepfade. Gibt schlimmeres.

Edit: Ah, geht supereasy:

Code:

openssl x509 -in signed-leaf-certificate.pem -noout -issuer

Output:

Code:

issuer=C = US, O = Let's Encrypt, CN = R10

Damit kann man easy arbeiten.

Bearbeitet von GrandAdmiralThrawn am 25.07.2025, 11:28

Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 51190	17.06.2025 - 10:04 ACME auf einem anderen Server laufen lassen und die Certs dann verteilen?
GrandAdmiralThrawn Lord of Derailment Registered: Aug 2000 Location: BRUCK! Posts: 3816	18.06.2025 - 14:38 Ok jo, könnt man machen, z.B. auf meinem Raspberri Pi der daneben herumliegt, aber zurerst Mal hole ich mir die neueste Version vom Crypt::LE Client, und probier's mit dem aus. davebastard, du schreibst es könnten zwei in der Chain sein. Aber wie reihe ich die dann? R10 vor R11 oder R11 vor R10? Oder ist das wurscht?
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 51190	18.06.2025 - 15:37 Wenn beide in der Chain sind müsste die Reihenfolge egal sein
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12757	19.06.2025 - 00:54 denke ich auch, ich hab das selbst nie probiert ich überlass das dem acme client.. hab das nur geschrieben wei in dem verlinkten artikel steht Zitat When an ACME client downloads a newly-issued certificate from Let’s Encrypt’s ACME API, that certificate comes as part of a “chain” that also includes one or more intermediates. Usually this chain consists of just the end-entity certificate and one intermediate, but it could contain additional intermediates.[...]
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12215	19.06.2025 - 10:39 Zitat aus einem Post von Viper780 Wenn beide in der Chain sind müsste die Reihenfolge egal sein Das ist bzw. war mit OpenSSL zumindest historisch tatsaechlich eine Frage der Software, und wie den ihren CTX konfiguriert/initialisiert. Also ist schon vorstellbar, dass es da Befindlichkeiten gibt, dass z. B. im PEM die Intermediates absteigend sortiert vor oder aufsteigend sortiert nach dem Leaf notiert sein muessen.
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19889	19.06.2025 - 11:28 Warum würde man das machen, warum überprüft man bei einem Check nicht einfach alle darin befindlichen Certs ob irgendeines davon passt
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12215	19.06.2025 - 11:38 Gibt imho nur drei gute Erklaerungen: Faulheit, Unwissenheit, oder Bosheit Performance koennte man evtl. noch argumentieren, weil es hindert dich in der Theorie ja nichts daran, 1000e Zertifikate in ein PEM-File zu klopfen - soll die Software dann wirklich einen vollstaendigen Graphen aus alles darin abgelegten Zertifikaten bauen, um die richtigen Chains an deine Leafs zu bringen? Imho nein - das kann man dem sysop schon abverlangen, dass der seinen Schluessel- und Zertifikatskram halbwegs in Ordnung hat.
othan Layer 8 Problem Registered: Nov 2001 Location: Switzerland Posts: 4254	04.07.2025 - 11:38 Heute erneuert, die neuen laufen über R11, die alten über R10...
GrandAdmiralThrawn Lord of Derailment Registered: Aug 2000 Location: BRUCK! Posts: 3816	24.07.2025 - 14:10 So, habe mich selbst jetzt eine Weile nicht gemeldet, weil viel los war bei mir (und NICHTS davon war gut), unter anderem ist die Systemplatine meines 29 Jahre in Betrieb befindlichen Servers gestorben. Der sekundäre PCI Buskontroller hat die Grätsche gemacht, womit der Kernel einen entsprechenden Non-Maskable Interrupt erhält sobald er auf den Bus zugreifen will. Der ist komplett tot, auf dem POSTen auch keine SCSI, PXE oder VGA BIOSes mehr. Endlich eine Platine gefunden, die wenigstens so halb funktioniert... Einen Schatten hat die auch, nur mehr 2 statt 4 CPUs, weil das zweite Riserboard als fehlerhaft erkannt wird. So, aber jetzt zurück zu SSL. Ich check's noch immer ned. Das Interweb und die KIs sagen mir, die Cert Order müsse in der PEM Chaindatei wie folgt aus sehen: 0: Ganz oben das Leaf / Server Cert 1: In der Mitte alle Intermediate Certs in irgendeiner Order 3: Ganz unten das Root, das die Intermediates gezeichnet hat So aber funktioniert es bei mir überhaupt nicht. Da kann mein Client ned Mal verbinden. Also so probiert: 0: Root (X1) 1: Intermediates (R10 & R11) 2: Leaf So verbindet er mich, warnt aber: "Server sent unsorted certificate chain in violation of the TLS specifications". Aktuell ist das Leaf von R10 signiert. Also noch folgendes händisch probiert: 0: Root (X1) 1: Intermediate (R10 only) 2: Leaf Mit dieser Chain funktioniert es sang- und klanglos. Keine Fehler, keine Warnungen, es geht einfach. Also die folgende Struktur... ...funktioniert bei mir nicht so ganz, da kommt die "unsorted certificate chain" Warnmeldung. Seit kurzem (weil Updates) wertet die Software das sogar als Grund die Connection ganz fallen zu lassen. Etwas ältere Versionen (FileZilla) wertens noch als Warnung. Also die Idee dem Leaf quasi zu sagen "such dir halt dein passendes Intermediate im Chainfile" scheint nicht zu funktionieren... Bearbeitet von GrandAdmiralThrawn am 24.07.2025, 14:12
othan Layer 8 Problem Registered: Nov 2001 Location: Switzerland Posts: 4254	24.07.2025 - 14:32 /offtopic: Alles Gute für deinen Server, hoffe der läuft bald wieder im Vollausbau. Wäre schade, auch wenn wahrscheinlich jedes Raspberry Pi mehr Rechenleistung hat.
GrandAdmiralThrawn Lord of Derailment Registered: Aug 2000 Location: BRUCK! Posts: 3816	24.07.2025 - 16:29 Ich tue was ich kann! Downtimes werde ich dafür primär auf diverse Sonntage platzieren, weil da hat die Welt in der Regel eh andere Sachen zu tun, als Dienste von XIN.at zu konsumieren. Zum Pi, das läßt sich experimentell anhand des von mir selbst gebauten [x264 Benchmarks] nachweisen. Der schnellste Raspberry Pi in der Liste ist - und jetzt kommt der Jaw-Drop - 133 Mal (!) schneller als dieses Quadsockel 500-Watt-System aus den Mittneunzigern. Und das schon mit Pentium II Overdrives, also mit 333 MHz CPUs aus dem Jahre 1998, wir reden hier nicht von Klamath sondern schon von Deschutes Kernen... Also, der Speed mit dem sich die PC Welt in den 90ern bewegt hat, das sehen wir so wohl nie wieder. Das war Wahnsinn. Zu Let's Encrypt: Gibt's jetzt eine reale "Magic Sauce", wo ich sage, ich haue alle Roots und Intermediates rein, und mein Whatever-it-is-right-now-Leaf, und es funktioniert einfach? Und wenn ja; Wie? Weil wie gezeigt geht es ja NED. Oder muß ich mir das selber scripten? Oder MUSS das der ACMEv2 Client regeln?
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 51190	24.07.2025 - 20:36 Theoretisch regelt das der ACME Client und die Reihenfolge und der Aufbau ist (mehr oder weniger) egal. In der Praxis sind viele clients unterwegs die mit mehreren Intermediates nichts anfangen können oder immer den ersten wählen. Colo hats oben eh schön ausgeführt Alles Gute für XIN.at h264 Benchmarks mit modernen CPU sind aber unfair (außer das System macht nichts anderes)
GrandAdmiralThrawn Lord of Derailment Registered: Aug 2000 Location: BRUCK! Posts: 3816	25.07.2025 - 11:23 Also was ich jetzt gesehen habe kann ich bei Crypt::LE zwischen den Root X1 und Root X2 Pfaden wechseln, das kann er. Aber welches Intermediate er dann spezifisch wählen soll kann ich ihm nicht vorgeben. Er hat zufällig heute wieder aktualisiert, und wieder isses R10 geworden. Ich stelle mein Renewal Shellscript jetzt einfach auf R10 um. Und dann muß ich halt schauen wie ich mit OpenSSL auf der CLI beim Leaf Zert das zeichnende Intermediate auslesen kann, dann branche ich das Ausrollen halt auf zwei Codepfade. Gibt schlimmeres. Edit: Ah, geht supereasy: Code: `openssl x509 -in signed-leaf-certificate.pem -noout -issuer` Output: Code: `issuer=C = US, O = Let's Encrypt, CN = R10` Damit kann man easy arbeiten. Bearbeitet von GrandAdmiralThrawn am 25.07.2025, 11:28

Let's Encrypt Probleme 2025-05?

Forum Index > Software > Applications, Apps & Drivers

Viper780

GrandAdmiralThrawn

Viper780

davebastard

COLOSSUS

daisho

COLOSSUS

othan

GrandAdmiralThrawn

othan

GrandAdmiralThrawn

Viper780

GrandAdmiralThrawn