{"id":258164,"date":"2021-09-30T15:58:44","date_gmt":"2021-09-30T13:58:44","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=258164"},"modified":"2024-03-20T05:52:51","modified_gmt":"2024-03-20T04:52:51","slug":"lets-encrypt-zertifikate-rger-mit-windows-sophos-utm-macos-ios-30-9-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/30\/lets-encrypt-zertifikate-rger-mit-windows-sophos-utm-macos-ios-30-9-2021\/","title":{"rendered":"Let's Encrypt-Zertifikate-Ärger mit Windows, Sophos UTM, macOS\/iOS (30.9.2021)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Zum 30. September 2021 sind einige Root-Zertifikate abgelaufen, die Let's-Encrypt zum Signieren der Benutzer-Zertifikate verwendet hat. Das f\u00fchrte dazu, dass bestimmte Ger\u00e4te oder Anwendungen nicht mehr an Webseiten oder Mail-Server herankamen. Mir sind sowohl F\u00e4lle mit iOS 14\/15 und macOS untergekommen, als auch Probleme mit dem Internet Information Server (IIS) sowie Microsoft Exchange. Zudem macht die Sophos UTM Firewall Applicance Probleme, weil diese ebenfalls ein betroffenes Let's-Encrypt-Zertifikat verwendet. Die Probleme lassen sich aber leicht l\u00f6sen – hier noch eine kurze \u00dcbersicht bzw. Nachlese.<\/p>\n

<\/p>\n

Das Let's-Encrypt Zertifikate-Problem<\/h2>\n

\"\"Zum heutigen 30. September 2021 verlieren einige von Let's Encrypt zum Signieren von Kundenzertifikaten verwendete Root-Zertifikat ihre G\u00fcltigkeit (Ablauf des Intermediate R3 am 29.9.2021 um 19:21:40 GMT \u2013 das DST Root CA X3 l\u00e4uft am 30.9.2021 14:01:15 GMT aus). Clients, die nur die alten Root-Zertifikate kennen, k\u00f6nnen danach die Server-Zertifikate von Let's Encrypt nicht mehr verifizieren. Ich hatte im Blog-Beitrag 30. Sept. 2021: Knallt es bei Let's-Encrypt-Zertifikaten?<\/a> darauf hingewiesen. Es war aber unklar, ob dies Auswirkungen habe – vermutet wurde, dass dies nur ganz alte Ger\u00e4te, die keine Updates mehr bekommen (z.B. Android < v2.3.6) betroffen seien. Inzwischen ist aus Leserr\u00fcckmeldungen aber klar, dass auch Ger\u00e4te mit iOS 14 oder iOS 15, macOS etc. betroffen sein k\u00f6nnen.<\/p>\n

Probleme mit Exchange und IIS<\/h2>\n

Mir liegen einige Kommentare vor, die von Problemen mit Exchange Server sowie dem Windows Internet Information Server (IIS) berichten. Das Problem war, dass der betreffende Server das \u00e4ltere Let's Encrypt-Zertifikat bevorzugte. Hier hat der Neustart der betreffenden Server die Zertifikatskette wieder in Ordnung gebracht – wie es aus nachfolgenden Ausf\u00fchrungen hervorgeht.<\/p>\n

Windows IIS klemmt mit iOS<\/h3>\n

Beim Windows Internet Information Server (IIS) scheint es Probleme mit iOS-Ger\u00e4ten gegeben zu haben. Auf heise gibt es diesen Kommentar<\/a>, der einige Hinweise enth\u00e4lt.<\/p>\n

der aber nur bei macOS und iOS auftrat, bei Abruf von einem Windows-Server IIS.
\nBei allen Windows-Ger\u00e4ten gab es keine Probleme, mit keinem Browser.
\nAuf macOS trat das Problem auch beim Firefox auf.<\/p>\n

Abhilfe war:
\n-im Windows-Server Zertifikatspeicher das abgelaufene X3-Zertifikat l\u00f6schen
\n-alle Let's-Encrypt Zertifikate NEU ausstellen
\n-IIS restarten (nur zur Sicherheit)<\/p>\n

Danach hatten die Apple-Ger\u00e4te keine Probleme, ein Neustart dort war nicht erforderlich.<\/p>\n

Warum das nur auf macOS und IOS auftrat, ist mir nicht ganz klar.<\/p><\/blockquote>\n

Weitere Kommentare wie hier im B<\/a>log best\u00e4tigen die Probleme mit iOS-Ger\u00e4ten. Auch in diesem Kommentar<\/a> auf heise beklagt jemand Probleme mit IIS und Let's Encrypt-Zertifikaten. Martin Bene hat sich im englischsprachigen Blog mit diesem Kommentar<\/a> gemeldet:<\/p>\n

There are issues with IIS; the certificates are actually OK, but when building the certificate chain it sends, it prefers the old and now expired R3 intermediate certificate.<\/p>\n

It keeps sending the expired intermediate certificate even after the actual expire date until the server is rebooted; this breaks Clients that don't provide intermediate certificates themselves (like iOS). Other clients (Windows) continue working just fine.<\/p>\n

* Renewing the certificates on the server causes the chains to be rebuild and fixes the issue
\n* rebooting the server causes the chains to be rebuilt and also fixes the issue.
\n* just issuing an iisreset does NOT fix the issue<\/p><\/blockquote>\n

Das best\u00e4tigt das Problem, dass in vielen F\u00e4llen ein aktualisiertes Let's Encrypt-Zertifikat nicht wirksam wird. Erst ein Neustart des Windows-Servers bewirkt dass ein neues Zertifikat auch in die Zertifikatskette aufgenommen wird. Der Reset des IIS hilft leider nicht. Danach konnten auch die iOS-Ger\u00e4te wieder kommunizieren.<\/p>\n

Probleme mit Exchange<\/h3>\n

Auch in diesem Kommentar<\/a> meldet Markus Probleme in Verbindung mit der Erreichbarkeit eines Exchange-Servers auf Grund von Zertifikate-Problemen. Hier sein Kommentar:<\/p>\n

L\u00f6sung am Exchange Server das Zertifikat erneuern ! solltest du mit der win-acme L\u00f6sung arbeiten von Frankys web!<\/p>\n

https:\/\/github.com\/win-acme\/win-acme\/issues\/1929<\/a><\/p><\/blockquote>\n

Hier kann ich erneut den Hinweis geben, der mich \u00fcber Facebook erreichte: Bei mir hat ein Exchange Server Neustart geholfen. Nach dem Neustart wird die Zertifikatskette am Server richtig dargestellt.<\/em><\/p>\n

Sophos UTM Firewall Appliance betroffen<\/h2>\n

Hier im Blog meldeten sich gleich mehrere Benutzer, die Probleme mit dem Zugang von iOS-Ger\u00e4ten in Verbindung mit Sophos UTM (Firewall Appliance) berichteten. Blog-Leser Michael J. schrieb in diesem Kommentar<\/a>:<\/p>\n

es sieht wirklich so aus, als g\u00e4be es unter dem aktuellen iOS 15 Release Probleme mit der internen Mail App. Hier bekomme ich eine Meldung angezeigt, dass das Zertifikat abgelaufen ist, obwohl ein Ablaufdatum in der Zukunft angezeigt wird.<\/p>\n

Habe das Zertifikat direkt am Server (win-acme), sowie reverse Proxy (Sophos UTM mit LE) gecheckt, alles OK.
\nKann das jemand verifizieren\/best\u00e4tigen?<\/p><\/blockquote>\n

Kurze Zeit sp\u00e4ter habe ich auf Facebook auch die R\u00fcckmeldung erhalten, dass auch iPhones mit iOS 14 keine Kommunikation mit Mail-Servern nutzen konnten. Michael erg\u00e4nzt in einem sp\u00e4teren Kommentar:<\/p>\n

Ich habe das Problem finden k\u00f6nnen. In der Sophos UTM gab es, zus\u00e4tzlich zu den g\u00fcltigen Root-CAs, noch die beiden bereits abgelaufenen Zertifikate. Diese habe ich rausgel\u00f6scht und schon war das Problem mit der Chain erledigt. Ist vielleicht ganz n\u00fctzlich, wenn man auf Fehlersuche ist.<\/p><\/blockquote>\n

Laut diesem Kommentar<\/a> lassen sich diese unter Webserver Protection -> Certificate Management -> Certificate Authority <\/em>finden und l\u00f6schen. Das Problem k\u00f6nnte mit dem bereits oben erw\u00e4hnten Thema zu tun haben, dass neue Zertifikate in der Zertifikatskette unber\u00fccksichtigt bleiben, bis der zugrunde liegende Server neu gebootet wurde.<\/p>\n

Auf Facebook haben ich noch eine weitere R\u00fcckmeldung erhalten: Ist beim Mac (BigSure) das Gleiche, das Root Zertifikat (R3) ist gestern abgelaufen. Unter Windows sind die Zertifikate g\u00fcltig.<\/em><\/p>\n

Es lag am Exchange und der Sophos UTM. Auf der UTM mussten die alten CA's gel\u00f6scht werden, danach wurde im Browser wieder alles korrekt angezeigt. Einzig Outlook am Mac hat noch gemeckert. Hier musste das abgelaufene Root-Cert aus dem Zertifikatsspeicher gel\u00f6scht werden, anschlie\u00dfend das Let's Encrypt Zertifikat erneuern und einen IISReset durchf\u00fchren. Danach verbindet sich der Mac wieder fehlerfrei….<\/p><\/blockquote>\n

\"Let's(Quelle: Sophos)<\/p>\n

Erg\u00e4nzung:<\/strong> Sophos hat zum inzwischen das Advisory: Let's Encrypt Root Certificate Expiry<\/a> mit bebilderten Hinweisen herausgegeben (danke an den Leser f\u00fcr den Hinweis). Vielleicht helfen euch die gesammelten Hinweise weiter.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\n30. Sept. 2021: Knallt es bei Let's-Encrypt-Zertifikaten?<\/a>
\nAutsch: Let's encrypt zieht 3 Millionen Zertifikate zur\u00fcck<\/a>
\nWindows: Achtung bei abgelaufenen Zertifikaten, nicht l\u00f6schen<\/a>
\nUngepatchte Altger\u00e4te: Zertifikate-Ablauf Ende 2020<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Zum 30. September 2021 sind einige Root-Zertifikate abgelaufen, die Let's-Encrypt zum Signieren der Benutzer-Zertifikate verwendet hat. Das f\u00fchrte dazu, dass bestimmte Ger\u00e4te oder Anwendungen nicht mehr an Webseiten oder Mail-Server herankamen. Mir sind sowohl F\u00e4lle mit iOS 14\/15 und macOS … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,426,7862,301],"tags":[6234,24,3288],"class_list":["post-258164","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-sicherheit","category-stoerung","category-windows","tag-macos","tag-problem","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258164","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=258164"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258164\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=258164"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=258164"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=258164"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}