30. Sept. 2021: Knallt es bei Let's-Encrypt-Zertifikaten?

[English]Betreibt jemand Webangebote, die über Let's-Encrypt-Zertifikate signiert werden? Dann könnte es zum heutigen 30. September 2021 eventuell Probleme geben. Denn das von Let's Encrypt zum Signieren von Kundenzertifikaten verwendete Root-Zertifikat verliert an diesem Tag seine Gültigkeit (Ablauf des Intermediate R3 am 29.9.2021 um 19:21:40 GMT – das DST Root CA X3 läuft am 30.9.2021 14:01:15 GMT aus). Clients, die nur die alten Root-Zertifikate kennen, können danach die Server-Zertifikate von Let's Encrypt nicht mehr verifizieren.


Anzeige

Eine Liste der betroffenen Produkte hat Let's Encrypt hier veröffentlicht. Nachfolgend findet sich ein Auszug der Plattformen, die noch funktionieren sollten.

Plattformen, die ISRG Root X1 vertrauen

Browsers (Chrome, Safari, Edge, Opera) vertrauen in der Regel denselben Stammzertifikaten wie das Betriebssystem, auf dem sie ausgeführt werden. Firefox ist die Ausnahme: Er hat seinen eigenen Root Store. In Kürze werden auch die neuen Versionen von Chrome über einen eigenen Root Store verfügen.

Plattformen, die der DST Root CA X3 vertrauen

  • Windows >= XP SP3
  • macOS (most versions)
  • iOS (most versions)
  • Android >= v2.3.6
  • Mozilla Firefox >= v2.0
  • Ubuntu >= precise / 12.04
  • Debian >= squeeze / 6
  • Java 8 >= 8u101
  • Java 7 >= 7u111
  • NSS >= v3.11.9
  • Amazon FireOS (Silk Browser)
  • Cyanogen > v10
  • Jolla Sailfish OS > v1.1.2.16
  • Kindle > v3.4.1
  • Blackberry >= 10.3.3
  • PS4 Spielekonsole mit Firmware >= 5.00

Weitere Informationen zur Kompatibilität finden Sie in dieser Diskussion im Community-Forum.

Bekanntlich inkompatible Produkte

  • Blackberry < v10.3.3
  • Android < v2.3.6
  • Nintendo 3DS
  • Windows XP vor SP3 (kann keine SHA-2 signierten Zertifikate)
  • Java 7 < 7u111
  • Java 8 < 8u101
  • Windows Live Mail (2012 Mail-Client, nicht Webmail, kann nicht mit Zertifikaten ohne CRL umgehen)
  • PS3-Spielkonsole
  • PS4-Spielkonsole mit Firmware < 5.00

heise hat in diesem Artikel noch einige Hinweise zum Thema veröffentlicht.

Ergänzung: Ich habe mal im Artikel Let's Encrypt-Zertifikate-Ärger mit Windows, Sophos UTM, macOS/iOS (30.9.2021) einige Informationen zusammen gefasst.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

43 Antworten zu 30. Sept. 2021: Knallt es bei Let's-Encrypt-Zertifikaten?

  1. Dat Bundesferkel sagt:

    Es *sollte* eigentlich gar nicht knallen, da es mehr als genug Vorlaufzeit zum reagieren gab. Ich meine, bereits vor Monaten umgestellt zu haben.

    Aber schauen wir mal, der Tag ist noch lang und spätestens am Nachmittag weiß zumindest ich in meinen (privaten) Bereichen Genaueres.

    • Mattes sagt:

      Bei mir zum Beispiel kann ich auf meinem Android Private DNS via Adguard nicht mehr nutzen.
      Webinterface funktioniert hingegen noch.

      • Dat Bundesferkel sagt:

        Auch 'ne interessante Konstellation. Aber denkst Du, der Fehler liegt bei Dir? Könnte mir vorstellen, daß da der Anbieter etwas träge ist.

    • Dat Bundesferkel sagt:

      Überraschend laufen sämtliche privaten Dienste und Geräte wie erwartet und sind entsprechend erreichbar (ja, es sind mehr als 2…).

      Halt stop, ein Mysterium habe ich dann doch: FileZilla Server hat unter Windows ein uraltes Stammzertifikat, welches abgelaufen ist. Das ist aber mein ureigenes Verschulden.

  2. Singlethreaded sagt:

    Ich verwende privat auch Zertifikate von Let's Encrypt. Die werden aber ohnehin alle drei Monate automatisch erneuert und da ich nur aktuelle Browser / Software verwende rechne ich ehrlich gesagt nicht mit Problemen.
    Aber warten wir mal ab. 😉

    Gruß Singlethreaded

  3. Max sagt:

    Moin moin,

    das betrifft m.E. nur Zertifikate die noch die v1 APi nutzen, alle die via v2 ausgestellt wurden sind davon unbetroffen. Hab gestern erst neue gebastelt. R3 bis 2025, X1 bis 2035

    btw. diese alten Clients würde ich auch nich wirklich Online nutzen.

  4. Blupp sagt:

    Privat und für die kleine Klitsche hier sind diese Zertifikate im Einsatz. Bis jetzt ist alles in Ordnung, es sind aber noch ein paar stunden Zeit. Da es aber nur kleine Hostingpakete sind, wird sich zeigen ob die Hoster ordentlich arbeiten.

  5. Michael J. sagt:

    Guten Morgen zusammen,

    es sieht wirklich so aus, als gäbe es unter dem aktuellen iOS 15 Release Probleme mit der internen Mail App. Hier bekomme ich eine Meldung angezeigt, dass das Zertifikat abgelaufen ist, obwohl ein Ablaufdatum in der Zukunft angezeigt wird.

    Habe das Zertifikat direkt am Server (win-acme), sowie reverse Proxy (Sophos UTM mit LE) gecheckt, alles OK.
    Kann das jemand verifizieren/bestätigen?

    Grüße
    Michael

    • Günter Born sagt:

      Hast Du mal geprüft, ob es nicht ein iOS 15 Problem ist? Bin aktuell nicht sortiert, aber bei iOS 15 gibt es ja viele Probleme.

      Ergänzung: Wichtig wäre auch das Neustarten der betreffenden Server, weil die neuen Zertifikate erst dann in die Zertifikate-Kette aufgenommen werden.

      Beachtet auch die Hinweise aus Let's Encrypt-Zertifikate-Ärger mit Windows, Sophos UTM, macOS/iOS (30.9.2021)

      • Michael J. sagt:

        Ich habe das Problem finden können. In der Sophos UTM gab es, zusätzlich zu den gültigen Root-CAs, noch die beiden bereits abgelaufenen Zertifikate. Diese habe ich rausgelöscht und schon war das Problem mit der Chain erledigt. Ist vielleicht ganz nützlich, wenn man auf Fehlersuche ist.

    • Anonymous sagt:

      Guten Morgen,

      unter IOS 15 leider ja.

    • Felix sagt:

      Hallo Michael,

      ich habe genau die selben Probleme… bei uns spinnen alle iPhones rum, egal ob iOS14 oder 15… auf dem Server laufen die neuen Zertifikate (LE->R3->ISRG Root X1) … im Proxy (bei mir ein nginx) liegt ebenfalls das korrekte Zertifikat, die iPhones zeigen auch das korrekte LE-Zertifikat an, dessen Ablaufdatum in der Zukunft liegt (bei mir das nächste mal am 24.10.21) trotzdem meckern Sie rum, dass ein Zertifikat am 29.09.21 abgelaufen ist.

      Hab ich es richtig verstanden, dass du die alten Zwischen- und Root-Certs in deiner UTM manuell löschen musstest?

      • Joerg sagt:

        Hallo,

        musste auf unserer Sophos UTM das alte, abgelaufene Zwischenzertifikat löschen. Danach waren die Handys im Ausseneinsatz wieder online.

        • Matthias sagt:

          Kannst du kurz beschreiben, wo du die alten Zwischenzertifikate in der UTM gefunden hast?

          • Thomas A. sagt:

            Unter Webserver Protection -> Certificate Management -> Certificate Authority sind noch alte CAs. Diese löschen dann ist das Problem behoben. Man muss es nicht wirklich verstehen weil bei mir die neuen CAs hinterlegt waren.

    • Karl sagt:

      Bedingt, kann ich das bestätigen.

      Hatte heute von einem Kollegen einen Anruf wegen eines Zertifakt-Problems über LTE deswegen.
      Weiß aber nicht welche IOS Version aktuell läuft (>14), weil ich nicht dafür zuständig bin. Melde es aber hier noch nach.

      LG,
      Karl

    • Markus sagt:

      Hi Michael hatte das problem ebenso!

      Lösung am Exchange server das Zertifikat erneuern ! solltest du mit der win-acme lösung arbeiten von Frankys web!

      https://github.com/win-acme/win-acme/issues/1929

      cmd als Administrator m,it folgendem Befehl

      C:\win-acme>wacs.exe –renew –force –verbose

      Mfg Markus

  6. Volvic sagt:

    Servus Markus,
    wir verwenden das Script von FrankysWeb um das Zertifikat automatisch zu erneuern. Das ist aber nicht das gleiche was Du geschrieben hast?
    Wir haben leider auch das gleiche Problem, im Path ist die alte CA noch drin, obwohl das Zertifikat über Frankys Assistenten am 12.09 erstellt worden ist.

    Danke Dir!

  7. Raphael Groner sagt:

    Man gelobte doch Besserung nach Desaster mit DigiNotar damals.

  8. Benjamin sagt:

    Hallo,
    wir haben heute das gleiche Probleme, alle iPhones zicken Rum, egal ob iPhone 6, 8 oder das neuste…
    Bei allen das gleiche Problem, Zertifikat sei wohl abgelaufen, klickt man auf weitere Details steht aber das es noch Gültig ist.

    Habe heute sogar das R3 Zertifikat erneuert, somit wieder 90 Tage gültig.
    Wir haben auch eine Sophos UTM im Einsatz, jedoch finde ich die alten Root Zertifikate nicht wie oben bereits beschrieben wurde.
    Auch sehe ich die neuen in der Sophos nicht.
    Kann mir hier jemand nochmals Details geben?
    Und wo genau sollten in der UTM die neuen zu finden sein?

  9. Stephan sagt:

    Ich hatte heute das gleiche Problem. Exchange 2016 und mehrere Android und Apple Smartphones, die sich nicht mehr synchronisiert hatten.

    In meinem Fall hat es aber gereicht, manuell ein neues Zertifikat zu erstellen. Kurz nachdem es im Exchange aktiv war, haben sich alles Smartphones wieder synchronisiert. Es war weder ein Neustart notwendig, noch musste ich das alte Zertifikat löschen.

  10. Mario Siegmann sagt:

    Also ich bekomme den Fehler beim Starten der Desktop Anwendung von Nextcloud unter Windows 10.

    Ich weiß die Lösung hierzu nicht.

    • Dat Bundesferkel sagt:

      Die Fehlerbeschreibung ist ja leider Gottes auch recht dürftig. Aber in erster Instanz – sofern Dein Client up-to-date ist – sollte die Nextcloud selber sein, sprich der Server, auf dem die Instanz läuft.
      Dort solltest Du in Ruhe prüfen, ob und welche Zertifikate installiert sind und Dir die Kette genau ansehen.
      Sollte was abgelaufen sein, wird das in der Regel (bspw. wenn Du Zertifikate unter Windows ansiehst) auch entsprechend angezeigt.

      Ansonsten wie bei jeder Problemmeldung: "Ohne Log nix los". Details. Details. Details.
      Gehst ja auch nicht in die KFZ Werkstatt und sagst "Auto macht nicht mehr brumm", sondern gibst zumindest 'ne kleine Schilderung ab. :-D

    • Mornsgrans sagt:

      Hatte ich auch beim Nextcloud Desktop-Client 2.6.5
      Abhilfe:
      certmgr.msc aufrufen und unter "Vertrauenswürdige Stammzertifizierungsstellen" – "Zertifikate" den Eintrag "DST Root CA X3" mit Ablaufdatum "30.09.2021" suchen und in den Ordner "Nicht vertrauenswürdige Stammzertifizierungsstellen" ziehen.
      Nach Neustart des Nextcloud Desktop-Clients sollte die Fehlermeldung nicht mehr auftreten und nach Anklicken des Schlosses in den Einstellungen des Desktop-Clients sollte "DST Root CA X3" nicht mehr auftauchen, sondern statt dessen "ISRG Root X1" stehen (vorher sollten beide Einträge existiert haben).
      Ist dies nicht der Fall, liegt das Problem auf dem Nextcloud-Server, der möglicherweise nicht die "fullchain.pem" in den Webserver-Einstellungen eingebunden hat.

      Die Ursache des Problems beim Desktop-Client liegt offenbar bei diesem selbst, der das abgelaufene Root Zertifikat und das neue "zieht", vermutlich weil es von einem anderen Herausgeber stammt.

      Viel Erfolg

  11. Azazul sagt:

    Hallo,

    auch ich hatte das Problem heute mit einem Exchange hinter einer Sophos UTM.

    Meine Lösung war es bei Webserver Protection – Zertifikarverwaltung – CA die alten R3 etc. Zertifikate zu löschen. Kurz danach konnten sich wieder IOS und Android Geräte verbinden.

    Ich danke hier noch mal den vorherigen Poster für den sagen wir mal Brainstorming.

  12. Patrick Kloos sagt:

    Hi zusammen,

    kann bestätigen. Abgelaufenes Cert löschen hat gereicht.
    Reboot danach schadet nicht, hatten sonst SSL Scanning Fehler.

  13. David sagt:

    Falls jemand mit git unter Windows Probleme hat: die Installation der neuesten git-Version hat bei uns geholfen.

  14. dago sagt:

    Hallo Günter,

    sollte der Link "vorausgesetzt, das automatische Root-Zertifikat-Update ist nicht manuell deaktiviert" evtl. irgendwo anders hin zeigen? Die Seite hat scheinbar nichts mit Zertifikaten zu tun.

    Viele Grüße

  15. Hamburger sagt:

    Oktober bis Dezember 2021
    Norddeutscher Rundfunk wurde ausgelaufen
    Hamburg 1 (HH1) wurde ersetzt

    NDR oder HH 1

  16. Sven sagt:

    Hallo, bei funktioniert (gefühlt seit dem Update von ios14 auf 15) der Hotspot nicht mehr, an dem ich mich mit einem MacBook Pro mit MacOS X 10.6.8 anmelden will. Mit jüngeren OSX Systemen funktioniert der Hotspot.

    Kann das Problem auch an den Certs liegen?

    VG Sven

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.