Let's Encrypt Probleme 2025-05?

GrandAdmiralThrawn

XP Nazi

Registered: Aug 2000
Location: BRUCK!
Posts: 3773

28.05.2025 - 07:41

Grüß euch,

Diese Woche hat mein Server - wie so viele Male davor - per ACMEv2 seinen Let's Encrypt Certificate Signing Request übermittelt, und dementsprechend sein neues Zertifikat ausgestellt bekommen. Seitdem gibt's Probleme, und ich habe auch aus der Industrie in zumindest einem Fall von ähnlichen Troubles gehört.

Manche Netzwerkclients droppen jetzt Connections, weil sie meinen sie könnten das Endpunktzertifikat nicht zertifizieren. So als würde das Intermediate ned passen. Andere liefern Fehler wie "Error: Server sent unsorted certificate chain in violation of the TLS specifications". Wieder andere regen sich gar nicht auf. Ich habe mir die Chain angeschaut, aber die Sortierung paßt.

Die Chain of Trust auf meinem Server schaut den Files zufolge so aus: ISRG Root X1 --signs--> Let’s Encrypt R11 --signs--> End-Entity Server Certificate.

Stimmt da grade irgendwas ned? In manchen Clients wird jetzt das R10 anstatt des R11 als Intermediate Certificate gelistet, ist das eventuell der Grund? Hams R11 weggeschmissen und zertifizieren jetzt nur mehr per R10 oder wie?

testssl.sh sagt bei mir u.a.:

Code:

 Issuer                       R10 (Let's Encrypt from US)
 Trust (hostname)             Ok via SAN (same w/o SNI)
 Chain of trust               NOT ok (chain incomplete)

In den News kann ich nichts finden, und die Infos zur Chain of Trust bei Let's Encrypt sind eigentlich unverändert.

Muß ich jetzt R11 durch R10 tauschen? :confused:

Bearbeitet von GrandAdmiralThrawn am 28.05.2025, 07:45

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15869

28.05.2025 - 07:53

hab soeben mal für dich einen renew angestoßen und ja, die neuen scheinen jetzt von R10 und nicht mehr R11 zu kommen

edit: aber dein problem kann ich nicht nachvollziehen. dem client muss das eigentlich hübsch egal sein solang das intermediate mitgeschickt wird

Bearbeitet von userohnenamen am 28.05.2025, 07:58

othan

Layer 8 Problem

Registered: Nov 2001
Location: Switzerland
Posts: 4250

28.05.2025 - 07:59

Meine sind von April und alle über R10

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 9077

28.05.2025 - 09:22

mein aktuellstes ist vom 26. mai und auch R10. Die von anfang mai laufen aber auch noch über R11

GrandAdmiralThrawn

XP Nazi

Registered: Aug 2000
Location: BRUCK!
Posts: 3773

29.05.2025 - 17:35

Okay, danke euch. Nachdem meine Chain X1 => R11 => Server ist, wird das das Problem sein. Ich schicke R10 vom Server aus nämlich ned mit. Und wenn der Client R10 ned schon in seiner Trust Chain hat, dann kracht's natürlich.

Jetzt check' ich das. Vor'm nächsten Renewal also R11 durch R10 austauschen.

Danke!

Edit: SSL/TLS suxx. Kann ich bitte Crypto ohne Identitätsverifikation haben? Hah...

GrandAdmiralThrawn XP Nazi Registered: Aug 2000 Location: BRUCK! Posts: 3773	28.05.2025 - 07:41 Grüß euch, Diese Woche hat mein Server - wie so viele Male davor - per ACMEv2 seinen Let's Encrypt Certificate Signing Request übermittelt, und dementsprechend sein neues Zertifikat ausgestellt bekommen. Seitdem gibt's Probleme, und ich habe auch aus der Industrie in zumindest einem Fall von ähnlichen Troubles gehört. Manche Netzwerkclients droppen jetzt Connections, weil sie meinen sie könnten das Endpunktzertifikat nicht zertifizieren. So als würde das Intermediate ned passen. Andere liefern Fehler wie "Error: Server sent unsorted certificate chain in violation of the TLS specifications". Wieder andere regen sich gar nicht auf. Ich habe mir die Chain angeschaut, aber die Sortierung paßt. Die Chain of Trust auf meinem Server schaut den Files zufolge so aus: ISRG Root X1 --signs--> Let’s Encrypt R11 --signs--> End-Entity Server Certificate. Stimmt da grade irgendwas ned? In manchen Clients wird jetzt das R10 anstatt des R11 als Intermediate Certificate gelistet, ist das eventuell der Grund? Hams R11 weggeschmissen und zertifizieren jetzt nur mehr per R10 oder wie? testssl.sh sagt bei mir u.a.: Code: `Issuer R10 (Let's Encrypt from US) Trust (hostname) Ok via SAN (same w/o SNI) Chain of trust NOT ok (chain incomplete)` In den News kann ich nichts finden, und die Infos zur Chain of Trust bei Let's Encrypt sind eigentlich unverändert. Muß ich jetzt R11 durch R10 tauschen? Bearbeitet von GrandAdmiralThrawn am 28.05.2025, 07:45
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15869	28.05.2025 - 07:53 hab soeben mal für dich einen renew angestoßen und ja, die neuen scheinen jetzt von R10 und nicht mehr R11 zu kommen edit: aber dein problem kann ich nicht nachvollziehen. dem client muss das eigentlich hübsch egal sein solang das intermediate mitgeschickt wird Bearbeitet von userohnenamen am 28.05.2025, 07:58
othan Layer 8 Problem Registered: Nov 2001 Location: Switzerland Posts: 4250	28.05.2025 - 07:59 Meine sind von April und alle über R10
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 9077	28.05.2025 - 09:22 mein aktuellstes ist vom 26. mai und auch R10. Die von anfang mai laufen aber auch noch über R11
GrandAdmiralThrawn XP Nazi Registered: Aug 2000 Location: BRUCK! Posts: 3773	29.05.2025 - 17:35 Okay, danke euch. Nachdem meine Chain X1 => R11 => Server ist, wird das das Problem sein. Ich schicke R10 vom Server aus nämlich ned mit. Und wenn der Client R10 ned schon in seiner Trust Chain hat, dann kracht's natürlich. Jetzt check' ich das. Vor'm nächsten Renewal also R11 durch R10 austauschen. Danke! Edit: SSL/TLS suxx. Kann ich bitte Crypto ohne Identitätsverifikation haben? Hah...

Let's Encrypt Probleme 2025-05?

Forum Index > Software > Applications, Apps & Drivers

GrandAdmiralThrawn

userohnenamen

othan

Umlüx

GrandAdmiralThrawn