[English]Betreibt jemand Webangebote, die über Let's-Encrypt-Zertifikate signiert werden? Dann könnte es zum heutigen 30. September 2021 eventuell Probleme geben. Denn das von Let's Encrypt zum Signieren von Kundenzertifikaten verwendete Root-Zertifikat verliert an diesem Tag seine Gültigkeit (Ablauf des Intermediate R3 am 29.9.2021 um 19:21:40 GMT – das DST Root CA X3 läuft am 30.9.2021 14:01:15 GMT aus). Clients, die nur die alten Root-Zertifikate kennen, können danach die Server-Zertifikate von Let's Encrypt nicht mehr verifizieren.
Anzeige
Eine Liste der betroffenen Produkte hat Let's Encrypt hier veröffentlicht. Nachfolgend findet sich ein Auszug der Plattformen, die noch funktionieren sollten.
Plattformen, die ISRG Root X1 vertrauen
- Windows >= XP SP3 (vorausgesetzt, das automatische Root-Zertifikat-Update ist nicht manuell deaktiviert)
- macOS >= 10.12.1
- iOS >= 10 (iOS 9 does not include it)
- iPhone 5 and above can upgrade to iOS 10 and can thus trust ISRG Root X1
- Android >= 7.1.1 (but Android >= 2.3.6 will work by default due to our special cross-sign)
- Mozilla Firefox >= 50.0
- Ubuntu >= xenial / 16.04 (with updates applied)
- Debian >= jessie / 8 (with updates applied)
- Java 8 >= 8u141
- Java 7 >= 7u151
- NSS >= 3.26
Browsers (Chrome, Safari, Edge, Opera) vertrauen in der Regel denselben Stammzertifikaten wie das Betriebssystem, auf dem sie ausgeführt werden. Firefox ist die Ausnahme: Er hat seinen eigenen Root Store. In Kürze werden auch die neuen Versionen von Chrome über einen eigenen Root Store verfügen.
Plattformen, die der DST Root CA X3 vertrauen
- Windows >= XP SP3
- macOS (most versions)
- iOS (most versions)
- Android >= v2.3.6
- Mozilla Firefox >= v2.0
- Ubuntu >= precise / 12.04
- Debian >= squeeze / 6
- Java 8 >= 8u101
- Java 7 >= 7u111
- NSS >= v3.11.9
- Amazon FireOS (Silk Browser)
- Cyanogen > v10
- Jolla Sailfish OS > v1.1.2.16
- Kindle > v3.4.1
- Blackberry >= 10.3.3
- PS4 Spielekonsole mit Firmware >= 5.00
Weitere Informationen zur Kompatibilität finden Sie in dieser Diskussion im Community-Forum.
Bekanntlich inkompatible Produkte
- Blackberry < v10.3.3
- Android < v2.3.6
- Nintendo 3DS
- Windows XP vor SP3 (kann keine SHA-2 signierten Zertifikate)
- Java 7 < 7u111
- Java 8 < 8u101
- Windows Live Mail (2012 Mail-Client, nicht Webmail, kann nicht mit Zertifikaten ohne CRL umgehen)
- PS3-Spielkonsole
- PS4-Spielkonsole mit Firmware < 5.00
heise hat in diesem Artikel noch einige Hinweise zum Thema veröffentlicht.
Anzeige
Ergänzung: Ich habe mal im Artikel Let's Encrypt-Zertifikate-Ärger mit Windows, Sophos UTM, macOS/iOS (30.9.2021) einige Informationen zusammen gefasst.
Anzeige
Es *sollte* eigentlich gar nicht knallen, da es mehr als genug Vorlaufzeit zum reagieren gab. Ich meine, bereits vor Monaten umgestellt zu haben.
Aber schauen wir mal, der Tag ist noch lang und spätestens am Nachmittag weiß zumindest ich in meinen (privaten) Bereichen Genaueres.
Bei mir zum Beispiel kann ich auf meinem Android Private DNS via Adguard nicht mehr nutzen.
Webinterface funktioniert hingegen noch.
Auch 'ne interessante Konstellation. Aber denkst Du, der Fehler liegt bei Dir? Könnte mir vorstellen, daß da der Anbieter etwas träge ist.
Überraschend laufen sämtliche privaten Dienste und Geräte wie erwartet und sind entsprechend erreichbar (ja, es sind mehr als 2…).
Halt stop, ein Mysterium habe ich dann doch: FileZilla Server hat unter Windows ein uraltes Stammzertifikat, welches abgelaufen ist. Das ist aber mein ureigenes Verschulden.
Ich verwende privat auch Zertifikate von Let's Encrypt. Die werden aber ohnehin alle drei Monate automatisch erneuert und da ich nur aktuelle Browser / Software verwende rechne ich ehrlich gesagt nicht mit Problemen.
Aber warten wir mal ab. 😉
Gruß Singlethreaded
So ist es, gute Systempflege verhindert solche Probleme von vornherein.
Moin moin,
das betrifft m.E. nur Zertifikate die noch die v1 APi nutzen, alle die via v2 ausgestellt wurden sind davon unbetroffen. Hab gestern erst neue gebastelt. R3 bis 2025, X1 bis 2035
btw. diese alten Clients würde ich auch nich wirklich Online nutzen.
Privat und für die kleine Klitsche hier sind diese Zertifikate im Einsatz. Bis jetzt ist alles in Ordnung, es sind aber noch ein paar stunden Zeit. Da es aber nur kleine Hostingpakete sind, wird sich zeigen ob die Hoster ordentlich arbeiten.
Guten Morgen zusammen,
es sieht wirklich so aus, als gäbe es unter dem aktuellen iOS 15 Release Probleme mit der internen Mail App. Hier bekomme ich eine Meldung angezeigt, dass das Zertifikat abgelaufen ist, obwohl ein Ablaufdatum in der Zukunft angezeigt wird.
Habe das Zertifikat direkt am Server (win-acme), sowie reverse Proxy (Sophos UTM mit LE) gecheckt, alles OK.
Kann das jemand verifizieren/bestätigen?
Grüße
Michael
Hast Du mal geprüft, ob es nicht ein iOS 15 Problem ist? Bin aktuell nicht sortiert, aber bei iOS 15 gibt es ja viele Probleme.
Ergänzung: Wichtig wäre auch das Neustarten der betreffenden Server, weil die neuen Zertifikate erst dann in die Zertifikate-Kette aufgenommen werden.
Beachtet auch die Hinweise aus Let's Encrypt-Zertifikate-Ärger mit Windows, Sophos UTM, macOS/iOS (30.9.2021)
Ich habe das Problem finden können. In der Sophos UTM gab es, zusätzlich zu den gültigen Root-CAs, noch die beiden bereits abgelaufenen Zertifikate. Diese habe ich rausgelöscht und schon war das Problem mit der Chain erledigt. Ist vielleicht ganz nützlich, wenn man auf Fehlersuche ist.
Sophos UTM: Das Löschen der abgelaufenen Root-CAs hat das Problem auch bei mir behoben.
Also erstmal kann ich bestätigen daß das ein Problem ist, daß IOS sowohl in Version 14 als auf 15 betrifft. Dann verstehe ich aber leider nicht wo Du in der Sophos UTM abgelaufene Root CA Zertifikate finden und löschen kannst. Wir benutzen bei vielen Kunden auch die Sophos WAF mit LetsEncrypt Zertifikaten und das Problem scheint mir eher Client-Seitig zu sein …
https://www.heise.de/news/Let-s-Encrypt-Zertifikate-Ruckler-am-30-September-moeglich-6201155.html
Unter Webserver Protection -> Certificate Management -> Certificate Authority sind noch alte CAs. Diese löschen dann ist das Problem behoben. Man muss es nicht wirklich verstehen weil bei mir die neuen CAs hinterlegt waren.
Guten Morgen,
unter IOS 15 leider ja.
Hallo Michael,
ich habe genau die selben Probleme… bei uns spinnen alle iPhones rum, egal ob iOS14 oder 15… auf dem Server laufen die neuen Zertifikate (LE->R3->ISRG Root X1) … im Proxy (bei mir ein nginx) liegt ebenfalls das korrekte Zertifikat, die iPhones zeigen auch das korrekte LE-Zertifikat an, dessen Ablaufdatum in der Zukunft liegt (bei mir das nächste mal am 24.10.21) trotzdem meckern Sie rum, dass ein Zertifikat am 29.09.21 abgelaufen ist.
Hab ich es richtig verstanden, dass du die alten Zwischen- und Root-Certs in deiner UTM manuell löschen musstest?
Hallo,
musste auf unserer Sophos UTM das alte, abgelaufene Zwischenzertifikat löschen. Danach waren die Handys im Ausseneinsatz wieder online.
Kannst du kurz beschreiben, wo du die alten Zwischenzertifikate in der UTM gefunden hast?
Unter Webserver Protection -> Certificate Management -> Certificate Authority sind noch alte CAs. Diese löschen dann ist das Problem behoben. Man muss es nicht wirklich verstehen weil bei mir die neuen CAs hinterlegt waren.
Bedingt, kann ich das bestätigen.
Hatte heute von einem Kollegen einen Anruf wegen eines Zertifakt-Problems über LTE deswegen.
Weiß aber nicht welche IOS Version aktuell läuft (>14), weil ich nicht dafür zuständig bin. Melde es aber hier noch nach.
LG,
Karl
Moin moin,
habe auch die Probleme .
IOS 14.8 -> ok
IOS 15 -> Zertifikat sei abgelaufen was nicht stimmt.
Danke für die Information
Hi Michael hatte das problem ebenso!
Lösung am Exchange server das Zertifikat erneuern ! solltest du mit der win-acme lösung arbeiten von Frankys web!
https://github.com/win-acme/win-acme/issues/1929
cmd als Administrator m,it folgendem Befehl
C:\win-acme>wacs.exe –renew –force –verbose
Mfg Markus
Servus Markus,
wir verwenden das Script von FrankysWeb um das Zertifikat automatisch zu erneuern. Das ist aber nicht das gleiche was Du geschrieben hast?
Wir haben leider auch das gleiche Problem, im Path ist die alte CA noch drin, obwohl das Zertifikat über Frankys Assistenten am 12.09 erstellt worden ist.
Danke Dir!
Ihr habt den Exchange-Server mal neu gestartet? Hatte die Rückmeldung auf Facebook:
Dieses Verhalten kann ich bestätigen. Nach einem Reboot ist alles wieder gut. ;)
Man gelobte doch Besserung nach Desaster mit DigiNotar damals.
Hallo,
wir haben heute das gleiche Probleme, alle iPhones zicken Rum, egal ob iPhone 6, 8 oder das neuste…
Bei allen das gleiche Problem, Zertifikat sei wohl abgelaufen, klickt man auf weitere Details steht aber das es noch Gültig ist.
Habe heute sogar das R3 Zertifikat erneuert, somit wieder 90 Tage gültig.
Wir haben auch eine Sophos UTM im Einsatz, jedoch finde ich die alten Root Zertifikate nicht wie oben bereits beschrieben wurde.
Auch sehe ich die neuen in der Sophos nicht.
Kann mir hier jemand nochmals Details geben?
Und wo genau sollten in der UTM die neuen zu finden sein?
kurzes Update: Ich habe im Windows Zertifikatspeicher auf dem Exchange nach den abgelaufenen Zertifikaten gesucht und bin fündig geworden.
Habe diese gelöscht und zur Sicherheit den IIS neu gestartet. Nach kurzer Zeit scheint es nun wieder zu gehen…
Mal morgen die User abklappern….
Guten Morgen,
weiterer Nachtrag: Heute geht wieder nichts bzw. war das gestern wohl nur ein kurzes Phänomen….
Aktuell haben alle Apple User wieder das gleiche Problem, bisher hat also nichts geholfen…..
Jemand noch eine brauchbare Idee was man noch versuchen könnte?
Für alle die das gleiche Problem haben, hier ist meine finale Lösung: https://www.borncity.com/blog/2021/09/30/lets-encrypt-zertifikate-rger-mit-windows-sophos-utm-macos-ios-30-9-2021/#comment-114236
Ich hatte heute das gleiche Problem. Exchange 2016 und mehrere Android und Apple Smartphones, die sich nicht mehr synchronisiert hatten.
In meinem Fall hat es aber gereicht, manuell ein neues Zertifikat zu erstellen. Kurz nachdem es im Exchange aktiv war, haben sich alles Smartphones wieder synchronisiert. Es war weder ein Neustart notwendig, noch musste ich das alte Zertifikat löschen.
Also ich bekomme den Fehler beim Starten der Desktop Anwendung von Nextcloud unter Windows 10.
Ich weiß die Lösung hierzu nicht.
Die Fehlerbeschreibung ist ja leider Gottes auch recht dürftig. Aber in erster Instanz – sofern Dein Client up-to-date ist – sollte die Nextcloud selber sein, sprich der Server, auf dem die Instanz läuft.
Dort solltest Du in Ruhe prüfen, ob und welche Zertifikate installiert sind und Dir die Kette genau ansehen.
Sollte was abgelaufen sein, wird das in der Regel (bspw. wenn Du Zertifikate unter Windows ansiehst) auch entsprechend angezeigt.
Ansonsten wie bei jeder Problemmeldung: "Ohne Log nix los". Details. Details. Details.
Gehst ja auch nicht in die KFZ Werkstatt und sagst "Auto macht nicht mehr brumm", sondern gibst zumindest 'ne kleine Schilderung ab. :-D
Hatte ich auch beim Nextcloud Desktop-Client 2.6.5
Abhilfe:
certmgr.msc aufrufen und unter "Vertrauenswürdige Stammzertifizierungsstellen" – "Zertifikate" den Eintrag "DST Root CA X3" mit Ablaufdatum "30.09.2021" suchen und in den Ordner "Nicht vertrauenswürdige Stammzertifizierungsstellen" ziehen.
Nach Neustart des Nextcloud Desktop-Clients sollte die Fehlermeldung nicht mehr auftreten und nach Anklicken des Schlosses in den Einstellungen des Desktop-Clients sollte "DST Root CA X3" nicht mehr auftauchen, sondern statt dessen "ISRG Root X1" stehen (vorher sollten beide Einträge existiert haben).
Ist dies nicht der Fall, liegt das Problem auf dem Nextcloud-Server, der möglicherweise nicht die "fullchain.pem" in den Webserver-Einstellungen eingebunden hat.
Die Ursache des Problems beim Desktop-Client liegt offenbar bei diesem selbst, der das abgelaufene Root Zertifikat und das neue "zieht", vermutlich weil es von einem anderen Herausgeber stammt.
Viel Erfolg
Hallo,
auch ich hatte das Problem heute mit einem Exchange hinter einer Sophos UTM.
Meine Lösung war es bei Webserver Protection – Zertifikarverwaltung – CA die alten R3 etc. Zertifikate zu löschen. Kurz danach konnten sich wieder IOS und Android Geräte verbinden.
Ich danke hier noch mal den vorherigen Poster für den sagen wir mal Brainstorming.
Hi zusammen,
kann bestätigen. Abgelaufenes Cert löschen hat gereicht.
Reboot danach schadet nicht, hatten sonst SSL Scanning Fehler.
Falls jemand mit git unter Windows Probleme hat: die Installation der neuesten git-Version hat bei uns geholfen.
Hallo Günter,
sollte der Link "vorausgesetzt, das automatische Root-Zertifikat-Update ist nicht manuell deaktiviert" evtl. irgendwo anders hin zeigen? Die Seite hat scheinbar nichts mit Zertifikaten zu tun.
Viele Grüße
Hab den Link deaktiviert – da gibt es wohl eine Umleitung und die Seite wird nicht mehr gepflegt. Danke für den Hinweis.
Oktober bis Dezember 2021
Norddeutscher Rundfunk wurde ausgelaufen
Hamburg 1 (HH1) wurde ersetzt
NDR oder HH 1
Verstehe ich nicht, die Aussage im Kommentar.
Hallo, bei funktioniert (gefühlt seit dem Update von ios14 auf 15) der Hotspot nicht mehr, an dem ich mich mit einem MacBook Pro mit MacOS X 10.6.8 anmelden will. Mit jüngeren OSX Systemen funktioniert der Hotspot.
Kann das Problem auch an den Certs liegen?
VG Sven