This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF + Let's Encypt

Hallo, selbst nachdem ich das alte R3 entfernt habe, das X3 automatisch gelöscht und die UTM neugestartet habe, gibt die UTM WAF (reverse proxy) immer noch den alten Pfad mit aus.

www.ssllabs.com:

Certification Paths
Path #1: Trusted
1 Sent by server xxx.domain.com
Fingerprint SHA256: c6fd72b49484c6124acd17f5bff8d90bf941200e889d67a607511f72ac429dfd
Pin SHA256: thxSHxnuQfCLGcjZzukPDVgDsYMm8Dc7L6KvNWLdB2I=

RSA 2048 bits (e 65537) / SHA256withRSA
2 Sent by server R3
Fingerprint SHA256: 67add1166b020ae61b8f5fc96813c04c2aa589960796865572a3c7e737613dfd
Pin SHA256: jQJTbIh0grw0/1TkHSumWb+Fs0Ggogr621gT3PvPKG0=

RSA 2048 bits (e 65537) / SHA256withRSA
3 In trust store ISRG Root X1   Self-signed
Fingerprint SHA256: 96bcec06264976f37460779acf28c5a7cfe8a3c0aae11a8ffcee05c0bddf08c6
Pin SHA256: C5+lpZ7tcVwmwQIMcRtPbsQtWLABXhQzejna0wHFr8M=

RSA 4096 bits (e 65537) / SHA256withRSA
Path #2: Not trusted (invalid certificate [Fingerprint SHA256: 0687260331a72403d909f105e69bcf0d32e1bd2493ffc6d9206d11bcd6770739])
1 Sent by server xxx.domain.com
Fingerprint SHA256: c6fd72b49484c6124acd17f5bff8d90bf941200e889d67a607511f72ac429dfd
Pin SHA256: thxSHxnuQfCLGcjZzukPDVgDsYMm8Dc7L6KvNWLdB2I=

RSA 2048 bits (e 65537) / SHA256withRSA
2 Sent by server R3
Fingerprint SHA256: 67add1166b020ae61b8f5fc96813c04c2aa589960796865572a3c7e737613dfd
Pin SHA256: jQJTbIh0grw0/1TkHSumWb+Fs0Ggogr621gT3PvPKG0=

RSA 2048 bits (e 65537) / SHA256withRSA
3 Sent by server ISRG Root X1
Fingerprint SHA256: 6d99fb265eb1c5b3744765fcbc648f3cd8e1bffafdc4c2f99b9d47cf7ff1c24f
Pin SHA256: C5+lpZ7tcVwmwQIMcRtPbsQtWLABXhQzejna0wHFr8M=

RSA 4096 bits (e 65537) / SHA256withRSA
4 In trust store DST Root CA X3   Self-signed
Fingerprint SHA256: 0687260331a72403d909f105e69bcf0d32e1bd2493ffc6d9206d11bcd6770739
Pin SHA256: Vjs8r4z+80wjNcr1YKepWQboSIRi63WsWXhIMN+eWys=

RSA 2048 bits (e 65537) / SHA1withRSA
Valid until: Thu, 30 Sep 2021 14:01:15 UTC
EXPIRED
Weak or insecure signature, but no impact on root certificate

Lösche ich das aktuelle R3 aus der UTM, wird der Pfad nicht mehr mit ausgegeben aber verschieden Endgeräte können keine vertrauenvolle Verbindung mehr aufbauen.

Hat dazu jemand eine Lösung ohne die Endgeräte einstellen zu müssen?



This thread was automatically locked due to age.
Parents Reply
  • Hallo,

    das hier ist ein Community Forum.

    Aus der Tatsache, dass hier auch Sophos Mitarbeiter Hilfestellung geben, kann kein Support-Anspruch abgeleitet werden.

    Bei Fehlverhalten empfiehlt es sich, ein Supportticket zu eröffnen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • Ich stehe seit dem 29.10 in Kontakt mit Sophos Support. Am 8.11 wurde mir gesagt, das Problem wäre ja schon behoben worden (support.sophos.com/.../KB-000042993

    Leider verstehen die nicht wirklich das Problem und schon garnicht die Lösung.

    Warte aktuell auf Rückmeldung, Zitat: "let me discuss it again with my internal team"

  • Das UTM Update 9.708 behebt das Problem leider nicht

    Der Sophos Support hat keine Ahnung und ist so unglaublich nutzlos... Ein Trauerspiel

    Heute bekam ich diese tolle EMail:

    We are glad to announce that we have released SOPHOS new firmware version 18.5.2 -MR 2, where lots of bugs and issue has been fixed.
    Kindly visit the link below release note where resolved issue and other announcements are made.
    

    Das es hier um ein SG/UTM Problem geht verstehen die wohl immer noch nicht, die XG hat ja nichtmal LetsEncrypt.

  • Ich würde empfehlen, das Problem gemeinsam mit einem Sophos-Partner anzugehen.

    Die Partner haben andere Möglichkeiten mit dem Support zu kommunizieren. 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Habe Diensteg ein Telefongespräch mit dem 2nd level Support von Sophos. Mal sehen ob die verstehen was da los ist. Die Lösung ist ja nicht wirklich schwer umzusetzten...

  • Habe Freitag diese Antwort von einem L2- Senior Escalations Engineerbekommen:

    I have verified the certificates and details, and I can see that the device has two certs and one of them is expired one. 
    
    This issue is already been registered under Jira - NUTM-13031, and below are the comments from Dev team. 
    
    We trust the new ISRG Root X1 certificate, but use OpenSSL 1.0.2, which contains an issue with cross-signing certificate verification and won't resolve correctly if the DST Root CA X3 is present.
    
    Disabling the DST Root CA X3 CA in Webadmin should resolve most cases.
    
    For WAF, we found that the ca-bundle is not tied to the Certificate Authorities brought in when you create certificates with Let's Encrypt.
    
    To resolve that, we need to remove the DST R3 and X3(Expired) certificates if they are present in the WAF > Certificate Authorities section.
    
    Please contact us for any further assistance.
    

    Wirklich befriedigend ist das immer noch nicht.

    Warte noch auf Rückmeldung wann denn endlich ein Update kommt dafür denn die falschen Zertifikate werden immer noch automatisch nachgeladen bei einem neuen Zertifikat oder einer Erneuerung

  • "Unfortunately, the only solution we have currently is to delete the old cert manually.

    Apart from that, there is no timeline given in Jira from Dev team about to auto fix of the situation. "

    Ein RestAPI Skript ist wohl aktuell der einzige automatische Workaround

  • We also have discussed the situation with GES and below are the inputs from GES team: 
    •	As  suggested, we need to delete the expired old CAs.
    •	Afterwards deactivate Lets Encrypt and activate it again, to confirm the deleted CAs are appearing again or not. 
    

  • Der Sophos Support hat scheinbar mein Problem gelöst:

    - Mindestens Update 9.708 installieren

    - Das korrekte CA X1 Zertifikat von Let’s Encrypt in die UTM laden unter Certificate Management -> Certificate Authority

    - Die beiden bestehenden Let's Encrypt CAs löschen

    - Let's Encrypt deaktivieren und erneut aktivieren unter Certificate Management -> Advanced -> Allow Let’s Encrypt certificates. Apply nach jedem Schritt klicken

    - Ein beliebiges Let's Encrypt Zertifikat erneuern oder erstellen

    Seit 2 Wochen läuft es stabil obwohl das "falsche" X1 nachgeladen wird