LE Zertifikate scheinen abgelaufen... !?

Hi zusammen, kann sich jemand folgendes erklären und mir Tipps geben, wie ich das (z.b. auf der console debuggen kann?)

ihr könntet das zertifikat von besagter Domäne gern prüfen: es scheint alles regulär zu sein.

Das Programm, dass das meldet ist dav2fs.
Auf dem Server ist auch die Uhrzeit korrekt.

Ich versteh’s net…:man_shrugging:

VG, Tobias

Hi Tobias,
bei mir hatte damal folgende Anleitung geholfen:

Link

Gruß

Freddy

1 „Gefällt mir“

Hallo Tobias,

du hast diese Diskussion hier gesehen? Ich nehme an, dein WebDAV-Client kommt ebenfalls mit dem neuen root-Zertifikat von letsencrypt nicht zurecht…

Viele Grüße,
Stefan

1 „Gefällt mir“

Hallo Stefan, hallo Freddy,

in der Tat ist die Diskussion, die Stefan zitiert sehr aufschlussreich, v.a. wenn man das nicht mitbekommen hat.
Am Ende half bei mir ein upgrade im Linux-client (20.04): ich vermute über ca-certificates, aber der Vollständigkeit halber alle Pakete die ich seit dem es funktionierte und ich abbrach, hab durchrennen lassen im Anhang.
VG, Tobias

ca-certificates (20210119~20.04.2) wird eingerichtet ...
Updating certificates in /etc/ssl/certs...
0 added, 1 removed; done.
thunderbird-locale-en-us (1:78.13.0+build1-0ubuntu0.20.04.2) wird eingerichtet ...
libuno-cppu3 (1:7.2.1-0ubuntu0.20.04.1~lo1) wird eingerichtet ...
libgd3:amd64 (2.2.5-5.2ubuntu2.1) wird eingerichtet ...
libgd3:i386 (2.2.5-5.2ubuntu2.1) wird eingerichtet ...
libimlib2:amd64 (1.6.1-1ubuntu0.1) wird eingerichtet ...
thunderbird-locale-de (1:78.13.0+build1-0ubuntu0.20.04.2) wird eingerichtet ...
git (1:2.25.1-1ubuntu3.2) wird eingerichtet ...
libdrm2:amd64 (2.4.105-3~20.04.2) wird eingerichtet ...
libdrm2:i386 (2.4.105-3~20.04.2) wird eingerichtet ...
python3.8-minimal (3.8.10-0ubuntu1~20.04.1) wird eingerichtet ...
libwebkit2gtk-4.0-37:amd64 (2.32.4-0ubuntu0.20.04.1) wird eingerichtet ...
procps (2:3.3.16-1ubuntu2.3) wird eingerichtet ...
linux-modules-extra-5.4.0-88-generic (5.4.0-88.99) wird eingerichtet ...
libpython3.8-stdlib:amd64 (3.8.10-0ubuntu1~20.04.1) wird eingerichtet ...
python3.8 (3.8.10-0ubuntu1~20.04.1) wird eingerichtet ...
libdrm-amdgpu1:amd64 (2.4.105-3~20.04.2) wird eingerichtet ...
libdrm-amdgpu1:i386 (2.4.105-3~20.04.2) wird eingerichtet ...
mesa-vulkan-drivers:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
mesa-vulkan-drivers:i386 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
openssh-sftp-server (1:8.2p1-4ubuntu0.3) wird eingerichtet ...
libuno-purpenvhelpergcc3-3 (1:7.2.1-0ubuntu0.20.04.1~lo1) wird eingerichtet ...
linux-image-generic (5.4.0.88.92) wird eingerichtet ...
gir1.2-webkit2-4.0:amd64 (2.32.4-0ubuntu0.20.04.1) wird eingerichtet ...
libdrm-nouveau2:amd64 (2.4.105-3~20.04.2) wird eingerichtet ...
libdrm-nouveau2:i386 (2.4.105-3~20.04.2) wird eingerichtet ...
uno-libs-private (1:7.2.1-0ubuntu0.20.04.1~lo1) wird eingerichtet ...
openssh-server (1:8.2p1-4ubuntu0.3) wird eingerichtet ...
rescue-ssh.target is a disabled or a static unit, not starting it.
linux-generic (5.4.0.88.92) wird eingerichtet ...
libgbm1:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
libdrm-radeon1:amd64 (2.4.105-3~20.04.2) wird eingerichtet ...
libdrm-radeon1:i386 (2.4.105-3~20.04.2) wird eingerichtet ...
libdrm-intel1:amd64 (2.4.105-3~20.04.2) wird eingerichtet ...
libdrm-intel1:i386 (2.4.105-3~20.04.2) wird eingerichtet ...
libgl1-mesa-dri:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
libgl1-mesa-dri:i386 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
libfwupd2:amd64 (1.5.11-0ubuntu1~20.04.2) wird eingerichtet ...
xserver-xorg-core (2:1.20.11-1ubuntu1~20.04.2) wird eingerichtet ...
libqmi-glib5:amd64 (1.28.6-1~20.04) wird eingerichtet ...
ghostscript-x (9.50~dfsg-5ubuntu4.3) wird eingerichtet ...
apport (2.20.11-0ubuntu27.20) wird eingerichtet ...
apport-autoreport.service is a disabled or a static unit, not starting it.
libxatracker2:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
libegl-mesa0:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
libpython3.8:amd64 (3.8.10-0ubuntu1~20.04.1) wird eingerichtet ...
libfwupdplugin1:amd64 (1.5.11-0ubuntu1~20.04.2) wird eingerichtet ...
pport-gtk (2.20.11-0ubuntu27.20) wird eingerichtet ...
mesa-va-drivers:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
mesa-va-drivers:i386 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
fwupd (1.5.11-0ubuntu1~20.04.2) wird eingerichtet ...
Neue Version der Konfigurationsdatei /etc/fwupd/daemon.conf wird installiert ...
Neue Version der Konfigurationsdatei /etc/fwupd/remotes.d/lvfs-testing.conf wird installiert ...
Neue Version der Konfigurationsdatei /etc/fwupd/remotes.d/lvfs.conf wird installiert ...
Neue Version der Konfigurationsdatei /etc/fwupd/thunderbolt.conf wird installiert ...
fwupd-offline-update.service is a disabled or a static unit not running, not starting it.
fwupd-refresh.service is a disabled or a static unit not running, not starting it.
fwupd.service is a disabled or a static unit not running, not starting it.
libuno-cppuhelpergcc3-3 (1:7.2.1-0ubuntu0.20.04.1~lo1) wird eingerichtet ...
mesa-vdpau-drivers:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
mesa-vdpau-drivers:i386 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
libglx-mesa0:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
vim (2:8.1.2269-1ubuntu5.3) wird eingerichtet ...
fwupd-signed (1.27.1ubuntu5+1.5.11-0ubuntu1~20.04.2) wird eingerichtet ...
samba-libs:amd64 (2:4.11.6+dfsg-0ubuntu1.10) wird eingerichtet ...
libqmi-proxy (1.28.6-1~20.04) wird eingerichtet ...
libsmbclient:amd64 (2:4.11.6+dfsg-0ubuntu1.10) wird eingerichtet ...
smbclient (2:4.11.6+dfsg-0ubuntu1.10) wird eingerichtet ...
libgl1-mesa-glx:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
ure (1:7.2.1-0ubuntu0.20.04.1~lo1) wird eingerichtet ...
modemmanager (1.16.6-2~20.04) wird eingerichtet ...
samba-dsdb-modules:amd64 (2:4.11.6+dfsg-0ubuntu1.10) wird eingerichtet ...
python3-samba (2:4.11.6+dfsg-0ubuntu1.10) wird eingerichtet ...
samba-vfs-modules:amd64 (2:4.11.6+dfsg-0ubuntu1.10) wird eingerichtet ...
libreoffice-common (1:7.2.1-0ubuntu0.20.04.1~lo1) wird eingerichtet ...
Neue Version der Konfigurationsdatei /etc/apparmor.d/usr.lib.libreoffice.program.soffice.bin wird installiert ...
Replacing config file /etc/libreoffice/registry/main.xcd with new version

noch ein bissle konkreter:

ich habe auf einem Server mal getestet das verantwortliche Root-Zertifikat händisch auszukommentieren: /etc/ca-certificates.conf

mozilla/DigiCert_High_Assurance_EV_Root_CA.crt
mozilla/DigiCert_Trusted_Root_G4.crt
!mozilla/DST_ACES_CA_X6.crt
!mozilla/DST_Root_CA_X3.crt       # <---- Diese Zeile
mozilla/D-TRUST_Root_Class_3_CA_2_2009.crt
mozilla/D-TRUST_Root_Class_3_CA_2_EV_2009.crt
!mozilla/EBG_Elektronik_Sertifika_Hizmet_Sağlayıcısı.crt

Und dann habe ich update-ca-certificates ausgeführt.
Danach habe ich noch die Zertifikate auf dem Server für LE neu erstellen lassen.
Der Unterschied ist jetzt, dass ein Abruf der Zertifikate-Chain das (nur für die dummen Browser „fehlerhafte“) abgelaufene Zertifikat gar nicht mehr anbietet.

In meinem Browser als Client habe ich das noch gecacht und vor her mit nachher verglichen:
Vorher:


Nachher:

Ich hoffe, dass ich damit auf denen helfe, die einen dummen Client haben, der sich nicht updaten lässt, oder wo der Admin noch schläft (Internet Explorer/Edge/Chrome auf Windows 7 oder so)
Ich bin mir jedoch nicht 100% sicher, ob das die perfekte Vorgehensweise (auf serverseite) wäre.

VG, Tobias

1 „Gefällt mir“