Alte letsencrypt-Root-CA lief heute aus, Debian Stretch und älter trauen letsencrypt-Zertifikaten nicht mehr
14 views
Skip to first unread message
Christoph Lechleitner
Sep 30, 2021, 1:47:09 PM9/30/21
to LUGT (Google Groups), ad...@iteg.at
Servus!
Zur Info bzw. Warnung falls auf etwas älteren Systemen evtl. unerwartete Probleme mit HTTPS-Client-Anfragen durch Webbrowser, cronjobs, Anfragen an fremde Datenquellen usw. auftreten:
Debian Jessie und Stretch (und vermutlich auch ältere Ubuntus usw.) trauen den meisten letsencrypt-Server-Zertifikaten seit heute nicht mehr, weil ...
1. letsencrypt's alte RootCA abgelaufen ist, siehe https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
2. wegen Android-Clients default immer noch dieses mit-verwendet wird, vgl. "New Default Chain" auf https://letsencrypt.org/2020/12/21/extending-android-compatibility.html
3. Implementierungen von SSL-Client-Libraries bei CA-Chains nicht immer alle der gleichen Meinung waren, z.b. bezüglich Issuer-DN vs. Fingerprint (wenn es 2 bekannte CAs mit identischem DN aber unterschiedlichem Issuer gibt) und auch bezüglich dem Vertrauen in Zwischen-CAs bei abgelaufener RootCA
Seit Mitte Jänner 2021 unterstützt der Standard-certbot nach Diskussion in https://github.com/certbot/certbot/issues/8577 auch die "Alternative Chain" mit self-signed "ISRG Root X1" als einziger CA, aber diese Variante dieses certbot-Features ist nur in den allerneuesten Major Releases der Linux-Distributionen drin, und nur ein Teil der älteren Clients vertraut dieser CA, es kann also sein dass manche ältere HTTPS-Clients bzw. -Systeme trotzdem scheitern.
Mag sein dass ich da im Detail jetzt noch was falsch verstehe oder erzähle, aber ich hab' da jetzt über 2 Stunden reingesteckt und vielleicht hiflt's jemandem bei der Fehlersuche und -Behebung ...
lg Christoph
--
Christoph Lechleitner
Geschäftsführung
------------------------------------------------------------------------
ITEG IT-Engineers GmbH | Salurner Straße 18, A-6020 Innsbruck
FN 365826f | Handelsgericht Innsbruck | Mobiltelefon: +43 676 3674710
Mail: christoph....@iteg.at | Web: http://www.iteg.at/
------------------------------------------------------------------------
Zur Info bzw. Warnung falls auf etwas älteren Systemen evtl. unerwartete Probleme mit HTTPS-Client-Anfragen durch Webbrowser, cronjobs, Anfragen an fremde Datenquellen usw. auftreten:
Debian Jessie und Stretch (und vermutlich auch ältere Ubuntus usw.) trauen den meisten letsencrypt-Server-Zertifikaten seit heute nicht mehr, weil ...
1. letsencrypt's alte RootCA abgelaufen ist, siehe https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
2. wegen Android-Clients default immer noch dieses mit-verwendet wird, vgl. "New Default Chain" auf https://letsencrypt.org/2020/12/21/extending-android-compatibility.html
3. Implementierungen von SSL-Client-Libraries bei CA-Chains nicht immer alle der gleichen Meinung waren, z.b. bezüglich Issuer-DN vs. Fingerprint (wenn es 2 bekannte CAs mit identischem DN aber unterschiedlichem Issuer gibt) und auch bezüglich dem Vertrauen in Zwischen-CAs bei abgelaufener RootCA
Seit Mitte Jänner 2021 unterstützt der Standard-certbot nach Diskussion in https://github.com/certbot/certbot/issues/8577 auch die "Alternative Chain" mit self-signed "ISRG Root X1" als einziger CA, aber diese Variante dieses certbot-Features ist nur in den allerneuesten Major Releases der Linux-Distributionen drin, und nur ein Teil der älteren Clients vertraut dieser CA, es kann also sein dass manche ältere HTTPS-Clients bzw. -Systeme trotzdem scheitern.
Mag sein dass ich da im Detail jetzt noch was falsch verstehe oder erzähle, aber ich hab' da jetzt über 2 Stunden reingesteckt und vielleicht hiflt's jemandem bei der Fehlersuche und -Behebung ...
lg Christoph
--
Christoph Lechleitner
Geschäftsführung
------------------------------------------------------------------------
ITEG IT-Engineers GmbH | Salurner Straße 18, A-6020 Innsbruck
FN 365826f | Handelsgericht Innsbruck | Mobiltelefon: +43 676 3674710
Mail: christoph....@iteg.at | Web: http://www.iteg.at/
------------------------------------------------------------------------
Robert Penz
Sep 30, 2021, 3:38:35 PM9/30/21
to linuxuser...@googlegroups.com
Hi Christoph,
Jo das war seit Monaten angekündigt wenn nicht schon letztes Jahr und ich glaube die wollten die Cross Chain schon früher Mal weg lassen bei neuen Zertifikaten aber dann in der Default Einstellung gelassen bis es wirklich abläuft. :-)
Soweit ich weiß sollten alle Systeme die noch Security Updates bekommen das können, außer ich hab das damals falsch verstanden. Sind echt Systeme die noch supported werden dabei die Probleme haben?
SG
Robert
Robert
--
Tipp: Stammtischkalender (Google-Kalender) "linuxuser...@gmail.com"
in die eigene Terminverwaltung einbinden. Siehe: http://www.lugt.at/p/stammtisch.html
---
Sie erhalten diese Nachricht, weil Sie Mitglied der Google Groups-Gruppe "Linux User Group Tirol" sind.
Wenn Sie sich von dieser Gruppe abmelden und keine E-Mails mehr von dieser Gruppe erhalten möchten, senden Sie eine E-Mail an linuxusergroupt...@googlegroups.com.
Besuchen Sie https://groups.google.com/d/msgid/linuxusergrouptirol/381344b3-c1af-3080-2528-695611278edb%40iteg.at, um diese Diskussion im Web anzuzeigen.
Christoph Lechleitner
Sep 30, 2021, 4:17:48 PM9/30/21
to linuxuser...@googlegroups.com
Am 30.09.21 um 21:38 schrieb Robert Penz:
"nicht supported" heisst ja nicht dass es Kunden, Verwandte, Non-Profits usw. nicht noch umfassend verwenden ;-)
Ach so, deswegen unterschreibe ich immer wieder NDAs #LOL
Hab' jetzt bzgl. Debian Stretch - das ist in der LTS-Phase - nochmal nachgeforscht.
Da wurde am 11.9. (also vor 3 Wochen) ein entsprechendes GNU-TLS-Update ausgerollt, womit apt-transport-https, curl, wget, und lynx wieder "brav" sind. (Ich muss wohl die Upgrade-Runden noch öfter machen, seufz)
Allerdings muss man die entsprechende apt-source aktiv haben, z.B.:
deb http://security.debian.org/ stretch/updates main contrib non-free
Debian Jessie ist aber wirklich absolut betroffen, weil letsencrypt wohl zurecht mehr Rücksicht auf altes Android als auf altes GNU TLS/OpenSSL nimmt ;-)
lg Christoph
> Hi Christoph,
>
> Jo das war seit Monaten angekündigt wenn nicht schon letztes Jahr und ich glaube die wollten die Cross Chain schon früher Mal weg lassen bei neuen Zertifikaten aber dann in der Default Einstellung gelassen bis es wirklich abläuft. :-)
>
> Soweit ich weiß sollten alle Systeme die noch Security Updates bekommen das können, außer ich hab das damals falsch verstanden. Sind echt Systeme die noch supported werden dabei die Probleme haben?
Nicht dass ich wüsste.
>
> Jo das war seit Monaten angekündigt wenn nicht schon letztes Jahr und ich glaube die wollten die Cross Chain schon früher Mal weg lassen bei neuen Zertifikaten aber dann in der Default Einstellung gelassen bis es wirklich abläuft. :-)
>
> Soweit ich weiß sollten alle Systeme die noch Security Updates bekommen das können, außer ich hab das damals falsch verstanden. Sind echt Systeme die noch supported werden dabei die Probleme haben?
"nicht supported" heisst ja nicht dass es Kunden, Verwandte, Non-Profits usw. nicht noch umfassend verwenden ;-)
Ach so, deswegen unterschreibe ich immer wieder NDAs #LOL
Hab' jetzt bzgl. Debian Stretch - das ist in der LTS-Phase - nochmal nachgeforscht.
Da wurde am 11.9. (also vor 3 Wochen) ein entsprechendes GNU-TLS-Update ausgerollt, womit apt-transport-https, curl, wget, und lynx wieder "brav" sind. (Ich muss wohl die Upgrade-Runden noch öfter machen, seufz)
Allerdings muss man die entsprechende apt-source aktiv haben, z.B.:
deb http://security.debian.org/ stretch/updates main contrib non-free
Debian Jessie ist aber wirklich absolut betroffen, weil letsencrypt wohl zurecht mehr Rücksicht auf altes Android als auf altes GNU TLS/OpenSSL nimmt ;-)
lg Christoph
Richard Weinberger
Oct 1, 2021, 5:07:39 AM10/1/21
to Linux User Group Tirol
christoph....@gmail.com schrieb am Donnerstag, 30. September 2021 um 22:17:48 UTC+2:
Am 30.09.21 um 21:38 schrieb Robert Penz:
> Hi Christoph,
>
> Jo das war seit Monaten angekündigt wenn nicht schon letztes Jahr und ich glaube die wollten die Cross Chain schon früher Mal weg lassen bei neuen Zertifikaten aber dann in der Default Einstellung gelassen bis es wirklich abläuft. :-)
>
> Soweit ich weiß sollten alle Systeme die noch Security Updates bekommen das können, außer ich hab das damals falsch verstanden. Sind echt Systeme die noch supported werden dabei die Probleme haben?
Nicht dass ich wüsste.
"nicht supported" heisst ja nicht dass es Kunden, Verwandte, Non-Profits usw. nicht noch umfassend verwenden ;-)
Ach so, deswegen unterschreibe ich immer wieder NDAs #LOL
Dazu kann/darf ich auch nichts sagen. Aber ich erwarte ein Blutbad.
LG,
//richard
Robert Penz
Oct 1, 2021, 8:04:05 AM10/1/21
to linuxuser...@googlegroups.com
Hi,
Naja bei gnutls ist man doch schon happy wenn sie den ganzen TLS Standard implementiert haben und dort keine heftigen sicherheitsrelevante Bugs eingebaut haben. :-)
Und Richard gab's ein Blutbad? Ich hab bei uns gar nix mitbekommen.
SG
Robert
Robert
--
Tipp: Stammtischkalender (Google-Kalender) "linuxuser...@gmail.com"
in die eigene Terminverwaltung einbinden. Siehe: http://www.lugt.at/p/stammtisch.html
---
Sie erhalten diese Nachricht, weil Sie Mitglied der Google Groups-Gruppe "Linux User Group Tirol" sind.
Wenn Sie sich von dieser Gruppe abmelden und keine E-Mails mehr von dieser Gruppe erhalten möchten, senden Sie eine E-Mail an linuxusergroupt...@googlegroups.com.
Besuchen Sie https://groups.google.com/d/msgid/linuxusergrouptirol/8d9735c7-0604-52d2-e9f3-760a89ee9cdf%40iteg.at, um diese Diskussion im Web anzuzeigen.
Richard Weinberger
Oct 1, 2021, 8:29:51 AM10/1/21
to Linux User Group Tirol
RobertPenz schrieb am Freitag, 1. Oktober 2021 um 14:04:05 UTC+2:
Und Richard gab's ein Blutbad? Ich hab bei uns gar nix mitbekommen.
Vermutlich liegt es daran, dass wir in "leicht" unterschiedlichen Umfeldern arbeiten. ;-)
LG,
//richard
Reply all
Reply to author
Forward
0 new messages