WAF + Let's Encypt

Habe die Lösung gefunden

Es gibt 2 verschiedene X1 Zertifikate:

Korrekt
Fingerprint: CA:BD:2A:79:A1:07:6A:31:F2:1D:25:36:35:CB:03:9D:43:29:A5:E8

Veraltet
Fingerprint: 93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF

Download korrektes X1: https://censys.io/certificates/96bcec06264976f37460779acf28c5a7cfe8a3c0aae11a8ffcee05c0bddf08c6

Löscht man das alte X1 (welches automatisch installiert wird bei LetsEncrypt Zertifikaten) und läd das korrekte hoch, sendet die WAF nur noch den gültigen Pfad

Die Zertifikate muss man nicht neu ausstellen.

Wäre super wenn das in Zukunft automatisch passiert @SOPHOS

Erneuert man das Zertifikat manuell (oder wohl auch automatisch) wird das falsche X1 wieder nachgeladen.

Laut Tests via ssllabs.com wird der Pfad aber nicht mitgegeben

Problem liegt daran das bei der Erstellung von Zertifikaten eine Option PREFERRED_CHAIN="ISRG Root X1" fehlt.
Noch dazu kann man diese Option nur in aktuelle dehydrated Version 0.7.0 nutzen.. derzeit ist v0.6.5 in Verwendung 
..und es geht nur mit Zertifikat Erzeugung, also auch mit diese Option, geht renew leider nicht.

Info:
github.com/.../releases

..wir können nur hoffen das SOPHOS dehydrated auf v0.7.0 so schnell wie möglich updatet, sonst wird es echt mühsam, nämlich nach jede Zertifikat Verlängerung muss man die falsche CA wieder löschen  ...bei mir hab ich jetzt das auto-renew deaktiviert, ich brauche keine Überraschungen mitten im betrieb.

BITTE SOPHOS FIXT DAS

Hatte heute den Fall, dass plötzlich wieder das falsche X1 gesendet wurde und die Clientverbindungen so nicht mehr zu Stande gekommen sind

Das Zertifikat wurde auch schon mal erneuert?

Bei einem manuellen renew wird zwar das falsche X1 nachgeladen, aber nicht direkt an den client gesendet.

Keine Ahnung ab wann und wieso plötzlich wieder das flasche gesendet wird.

Bei mir wird immer die falsche X1(gültig bis 2024) sofort nach renew nachgeladen und gleich benutzt. Ich teste es immer mit openssl von meine linux box.

Richtig:
$ openssl s_client -connect valid-isrgrootx1.letsencrypt.org:https | head

depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = valid-isrgrootx1.letsencrypt.org
verify return:1
CONNECTED(00000005)
---
Certificate chain
 0 s:CN = valid-isrgrootx1.letsencrypt.org
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
---

Falsch:
$ openssl s_client -connect letsencrypt.org:https | head

depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = lencr.org
verify return:1
CONNECTED(00000005)
---
Certificate chain
 0 s:CN = lencr.org
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
---

Meine "workaround" ist derzeit bei alle Zertifikate eine manuelle renew zu machen, und auto renew dann deaktivieren.. und das ganze dann nach ca. 2,5 Monate wiederholen.

Auf ssh shell wird mit eine leere Datei das auto renew script deaktivieren.

touch /tmp/disable_letsencrypt_renew_certificates
oder
echo > tmp/disable_letsencrypt_renew_certificates

Bitte fixt das endlich @SOPHOS !!!

Hallo,

das hier ist ein Community Forum.

Aus der Tatsache, dass hier auch Sophos Mitarbeiter Hilfestellung geben, kann kein Support-Anspruch abgeleitet werden.

Bei Fehlverhalten empfiehlt es sich, ein Supportticket zu eröffnen.

Ich stehe seit dem 29.10 in Kontakt mit Sophos Support. Am 8.11 wurde mir gesagt, das Problem wäre ja schon behoben worden (support.sophos.com/.../KB-000042993

Leider verstehen die nicht wirklich das Problem und schon garnicht die Lösung.

Warte aktuell auf Rückmeldung, Zitat: "let me discuss it again with my internal team"