Hallo, selbst nachdem ich das alte R3 entfernt habe, das X3 automatisch gelöscht und die UTM neugestartet habe, gibt die UTM WAF (reverse proxy) immer noch den alten Pfad mit aus.
www.ssllabs.com:
Lösche ich das aktuelle R3 aus der UTM, wird der Pfad nicht mehr mit ausgegeben aber verschieden Endgeräte können keine vertrauenvolle Verbindung mehr aufbauen.
Hat dazu jemand eine Lösung ohne die Endgeräte einstellen zu müssen?
Habe die Lösung gefunden
Es gibt 2 verschiedene X1 Zertifikate:
KorrektFingerprint: CA:BD:2A:79:A1:07:6A:31:F2:1D:25:36:35:CB:03:9D:43:29:A5:E8VeraltetFingerprint: 93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F…
KorrektFingerprint: CA:BD:2A:79:A1:07:6A:31:F2:1D:25:36:35:CB:03:9D:43:29:A5:E8VeraltetFingerprint: 93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF
Download korrektes X1: https://letsencrypt.org/certs/isrgrootx1.pem
Löscht man das alte X1 (welches automatisch installiert wird bei LetsEncrypt Zertifikaten) und läd das korrekte hoch, sendet die WAF nur noch den gültigen Pfad
Die Zertifikate muss man nicht neu ausstellen.
Wäre super wenn das in Zukunft automatisch passiert @SOPHOS
Erneuert man das Zertifikat manuell (oder wohl auch automatisch) wird das falsche X1 wieder nachgeladen.
Laut Tests via ssllabs.com wird der Pfad aber nicht mitgegeben
Problem liegt daran das bei der Erstellung von Zertifikaten eine Option PREFERRED_CHAIN="ISRG Root X1" fehlt.Noch dazu kann man diese Option nur in aktuelle dehydrated Version 0.7.0 nutzen.. derzeit ist v0.6.5 in Verwendung ..und es geht nur mit Zertifikat Erzeugung, also auch mit diese Option, geht renew leider nicht.
Info:github.com/.../releases
..wir können nur hoffen das SOPHOS dehydrated auf v0.7.0 so schnell wie möglich updatet, sonst wird es echt mühsam, nämlich nach jede Zertifikat Verlängerung muss man die falsche CA wieder löschen ...bei mir hab ich jetzt das auto-renew deaktiviert, ich brauche keine Überraschungen mitten im betrieb.
BITTE SOPHOS FIXT DAS
Hatte heute den Fall, dass plötzlich wieder das falsche X1 gesendet wurde und die Clientverbindungen so nicht mehr zu Stande gekommen sind
Das Zertifikat wurde auch schon mal erneuert?
Dirk
Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum PartnerSophos Solution Partner since 2003 If a post solves your question, click the 'Verify Answer' link at this post.
Bei einem manuellen renew wird zwar das falsche X1 nachgeladen, aber nicht direkt an den client gesendet.
Keine Ahnung ab wann und wieso plötzlich wieder das flasche gesendet wird.
Bei mir wird immer die falsche X1(gültig bis 2024) sofort nach renew nachgeladen und gleich benutzt. Ich teste es immer mit openssl von meine linux box.
Richtig:$ openssl s_client -connect valid-isrgrootx1.letsencrypt.org:https | headdepth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1verify return:1depth=1 C = US, O = Let's Encrypt, CN = R3verify return:1depth=0 CN = valid-isrgrootx1.letsencrypt.orgverify return:1CONNECTED(00000005)---Certificate chain 0 s:CN = valid-isrgrootx1.letsencrypt.org i:C = US, O = Let's Encrypt, CN = R3 1 s:C = US, O = Let's Encrypt, CN = R3 i:C = US, O = Internet Security Research Group, CN = ISRG Root X1---
Falsch:$ openssl s_client -connect letsencrypt.org:https | headdepth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1verify return:1depth=1 C = US, O = Let's Encrypt, CN = R3verify return:1depth=0 CN = lencr.orgverify return:1CONNECTED(00000005)---Certificate chain 0 s:CN = lencr.org i:C = US, O = Let's Encrypt, CN = R3 1 s:C = US, O = Let's Encrypt, CN = R3 i:C = US, O = Internet Security Research Group, CN = ISRG Root X1 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1 i:O = Digital Signature Trust Co., CN = DST Root CA X3---
Meine "workaround" ist derzeit bei alle Zertifikate eine manuelle renew zu machen, und auto renew dann deaktivieren.. und das ganze dann nach ca. 2,5 Monate wiederholen.
Auf ssh shell wird mit eine leere Datei das auto renew script deaktivieren.
touch /tmp/disable_letsencrypt_renew_certificatesoderecho > tmp/disable_letsencrypt_renew_certificates
Bitte fixt das endlich @SOPHOS !!!
Hallo,
das hier ist ein Community Forum.
Aus der Tatsache, dass hier auch Sophos Mitarbeiter Hilfestellung geben, kann kein Support-Anspruch abgeleitet werden.
Bei Fehlverhalten empfiehlt es sich, ein Supportticket zu eröffnen.
Ich stehe seit dem 29.10 in Kontakt mit Sophos Support. Am 8.11 wurde mir gesagt, das Problem wäre ja schon behoben worden (support.sophos.com/.../KB-000042993
Leider verstehen die nicht wirklich das Problem und schon garnicht die Lösung.
Warte aktuell auf Rückmeldung, Zitat: "let me discuss it again with my internal team"