in der Tat ist die Diskussion, die Stefan zitiert sehr aufschlussreich, v.a. wenn man das nicht mitbekommen hat.
Am Ende half bei mir ein upgrade im Linux-client (20.04): ich vermute über ca-certificates, aber der Vollständigkeit halber alle Pakete die ich seit dem es funktionierte und ich abbrach, hab durchrennen lassen im Anhang.
VG, Tobias
ca-certificates (20210119~20.04.2) wird eingerichtet ...
Updating certificates in /etc/ssl/certs...
0 added, 1 removed; done.
thunderbird-locale-en-us (1:78.13.0+build1-0ubuntu0.20.04.2) wird eingerichtet ...
libuno-cppu3 (1:7.2.1-0ubuntu0.20.04.1~lo1) wird eingerichtet ...
libgd3:amd64 (2.2.5-5.2ubuntu2.1) wird eingerichtet ...
libgd3:i386 (2.2.5-5.2ubuntu2.1) wird eingerichtet ...
libimlib2:amd64 (1.6.1-1ubuntu0.1) wird eingerichtet ...
thunderbird-locale-de (1:78.13.0+build1-0ubuntu0.20.04.2) wird eingerichtet ...
git (1:2.25.1-1ubuntu3.2) wird eingerichtet ...
libdrm2:amd64 (2.4.105-3~20.04.2) wird eingerichtet ...
libdrm2:i386 (2.4.105-3~20.04.2) wird eingerichtet ...
python3.8-minimal (3.8.10-0ubuntu1~20.04.1) wird eingerichtet ...
libwebkit2gtk-4.0-37:amd64 (2.32.4-0ubuntu0.20.04.1) wird eingerichtet ...
procps (2:3.3.16-1ubuntu2.3) wird eingerichtet ...
linux-modules-extra-5.4.0-88-generic (5.4.0-88.99) wird eingerichtet ...
libpython3.8-stdlib:amd64 (3.8.10-0ubuntu1~20.04.1) wird eingerichtet ...
python3.8 (3.8.10-0ubuntu1~20.04.1) wird eingerichtet ...
libdrm-amdgpu1:amd64 (2.4.105-3~20.04.2) wird eingerichtet ...
libdrm-amdgpu1:i386 (2.4.105-3~20.04.2) wird eingerichtet ...
mesa-vulkan-drivers:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
mesa-vulkan-drivers:i386 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
openssh-sftp-server (1:8.2p1-4ubuntu0.3) wird eingerichtet ...
libuno-purpenvhelpergcc3-3 (1:7.2.1-0ubuntu0.20.04.1~lo1) wird eingerichtet ...
linux-image-generic (5.4.0.88.92) wird eingerichtet ...
gir1.2-webkit2-4.0:amd64 (2.32.4-0ubuntu0.20.04.1) wird eingerichtet ...
libdrm-nouveau2:amd64 (2.4.105-3~20.04.2) wird eingerichtet ...
libdrm-nouveau2:i386 (2.4.105-3~20.04.2) wird eingerichtet ...
uno-libs-private (1:7.2.1-0ubuntu0.20.04.1~lo1) wird eingerichtet ...
openssh-server (1:8.2p1-4ubuntu0.3) wird eingerichtet ...
rescue-ssh.target is a disabled or a static unit, not starting it.
linux-generic (5.4.0.88.92) wird eingerichtet ...
libgbm1:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
libdrm-radeon1:amd64 (2.4.105-3~20.04.2) wird eingerichtet ...
libdrm-radeon1:i386 (2.4.105-3~20.04.2) wird eingerichtet ...
libdrm-intel1:amd64 (2.4.105-3~20.04.2) wird eingerichtet ...
libdrm-intel1:i386 (2.4.105-3~20.04.2) wird eingerichtet ...
libgl1-mesa-dri:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
libgl1-mesa-dri:i386 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
libfwupd2:amd64 (1.5.11-0ubuntu1~20.04.2) wird eingerichtet ...
xserver-xorg-core (2:1.20.11-1ubuntu1~20.04.2) wird eingerichtet ...
libqmi-glib5:amd64 (1.28.6-1~20.04) wird eingerichtet ...
ghostscript-x (9.50~dfsg-5ubuntu4.3) wird eingerichtet ...
apport (2.20.11-0ubuntu27.20) wird eingerichtet ...
apport-autoreport.service is a disabled or a static unit, not starting it.
libxatracker2:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
libegl-mesa0:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
libpython3.8:amd64 (3.8.10-0ubuntu1~20.04.1) wird eingerichtet ...
libfwupdplugin1:amd64 (1.5.11-0ubuntu1~20.04.2) wird eingerichtet ...
pport-gtk (2.20.11-0ubuntu27.20) wird eingerichtet ...
mesa-va-drivers:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
mesa-va-drivers:i386 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
fwupd (1.5.11-0ubuntu1~20.04.2) wird eingerichtet ...
Neue Version der Konfigurationsdatei /etc/fwupd/daemon.conf wird installiert ...
Neue Version der Konfigurationsdatei /etc/fwupd/remotes.d/lvfs-testing.conf wird installiert ...
Neue Version der Konfigurationsdatei /etc/fwupd/remotes.d/lvfs.conf wird installiert ...
Neue Version der Konfigurationsdatei /etc/fwupd/thunderbolt.conf wird installiert ...
fwupd-offline-update.service is a disabled or a static unit not running, not starting it.
fwupd-refresh.service is a disabled or a static unit not running, not starting it.
fwupd.service is a disabled or a static unit not running, not starting it.
libuno-cppuhelpergcc3-3 (1:7.2.1-0ubuntu0.20.04.1~lo1) wird eingerichtet ...
mesa-vdpau-drivers:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
mesa-vdpau-drivers:i386 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
libglx-mesa0:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
vim (2:8.1.2269-1ubuntu5.3) wird eingerichtet ...
fwupd-signed (1.27.1ubuntu5+1.5.11-0ubuntu1~20.04.2) wird eingerichtet ...
samba-libs:amd64 (2:4.11.6+dfsg-0ubuntu1.10) wird eingerichtet ...
libqmi-proxy (1.28.6-1~20.04) wird eingerichtet ...
libsmbclient:amd64 (2:4.11.6+dfsg-0ubuntu1.10) wird eingerichtet ...
smbclient (2:4.11.6+dfsg-0ubuntu1.10) wird eingerichtet ...
libgl1-mesa-glx:amd64 (21.0.3-0ubuntu0.3~20.04.2) wird eingerichtet ...
ure (1:7.2.1-0ubuntu0.20.04.1~lo1) wird eingerichtet ...
modemmanager (1.16.6-2~20.04) wird eingerichtet ...
samba-dsdb-modules:amd64 (2:4.11.6+dfsg-0ubuntu1.10) wird eingerichtet ...
python3-samba (2:4.11.6+dfsg-0ubuntu1.10) wird eingerichtet ...
samba-vfs-modules:amd64 (2:4.11.6+dfsg-0ubuntu1.10) wird eingerichtet ...
libreoffice-common (1:7.2.1-0ubuntu0.20.04.1~lo1) wird eingerichtet ...
Neue Version der Konfigurationsdatei /etc/apparmor.d/usr.lib.libreoffice.program.soffice.bin wird installiert ...
Replacing config file /etc/libreoffice/registry/main.xcd with new version
Und dann habe ich update-ca-certificates ausgeführt.
Danach habe ich noch die Zertifikate auf dem Server für LE neu erstellen lassen.
Der Unterschied ist jetzt, dass ein Abruf der Zertifikate-Chain das (nur für die dummen Browser „fehlerhafte“) abgelaufene Zertifikat gar nicht mehr anbietet.
In meinem Browser als Client habe ich das noch gecacht und vor her mit nachher verglichen:
Vorher:
Ich hoffe, dass ich damit auf denen helfe, die einen dummen Client haben, der sich nicht updaten lässt, oder wo der Admin noch schläft (Internet Explorer/Edge/Chrome auf Windows 7 oder so)
Ich bin mir jedoch nicht 100% sicher, ob das die perfekte Vorgehensweise (auf serverseite) wäre.