WAF + Let's Encypt

Question

Hallo, selbst nachdem ich das alte R3 entfernt habe, das X3 automatisch gel&ouml;scht und die UTM neugestartet habe, gibt die UTM WAF (reverse proxy) immer noch den alten Pfad mit aus. 
 www.ssllabs.com:

Certification Paths

Path #1: Trusted

1 
 Sent by server 
 xxx.domain.com Fingerprint SHA256: c6fd72b49484c6124acd17f5bff8d90bf941200e889d67a607511f72ac429dfd Pin SHA256: thxSHxnuQfCLGcjZzukPDVgDsYMm8Dc7L6KvNWLdB2I= RSA 2048 bits (e 65537) / SHA256withRSA

2 
 Sent by server 
 R3 Fingerprint SHA256: 67add1166b020ae61b8f5fc96813c04c2aa589960796865572a3c7e737613dfd Pin SHA256: jQJTbIh0grw0/1TkHSumWb+Fs0Ggogr621gT3PvPKG0= RSA 2048 bits (e 65537) / SHA256withRSA

3 
 In trust store 
 ISRG Root X1 Self-signed Fingerprint SHA256: 96bcec06264976f37460779acf28c5a7cfe8a3c0aae11a8ffcee05c0bddf08c6 Pin SHA256: C5+lpZ7tcVwmwQIMcRtPbsQtWLABXhQzejna0wHFr8M= RSA 4096 bits (e 65537) / SHA256withRSA

Path #2: Not trusted (invalid certificate [Fingerprint SHA256: 0687260331a72403d909f105e69bcf0d32e1bd2493ffc6d9206d11bcd6770739])

1 
 Sent by server 
 xxx.domain.com Fingerprint SHA256: c6fd72b49484c6124acd17f5bff8d90bf941200e889d67a607511f72ac429dfd Pin SHA256: thxSHxnuQfCLGcjZzukPDVgDsYMm8Dc7L6KvNWLdB2I= RSA 2048 bits (e 65537) / SHA256withRSA

2 
 Sent by server 
 R3 Fingerprint SHA256: 67add1166b020ae61b8f5fc96813c04c2aa589960796865572a3c7e737613dfd Pin SHA256: jQJTbIh0grw0/1TkHSumWb+Fs0Ggogr621gT3PvPKG0= RSA 2048 bits (e 65537) / SHA256withRSA

3 
 Sent by server 
 ISRG Root X1 Fingerprint SHA256: 6d99fb265eb1c5b3744765fcbc648f3cd8e1bffafdc4c2f99b9d47cf7ff1c24f Pin SHA256: C5+lpZ7tcVwmwQIMcRtPbsQtWLABXhQzejna0wHFr8M= RSA 4096 bits (e 65537) / SHA256withRSA

4 
 In trust store 
 DST Root CA X3 Self-signed Fingerprint SHA256: 0687260331a72403d909f105e69bcf0d32e1bd2493ffc6d9206d11bcd6770739 Pin SHA256: Vjs8r4z+80wjNcr1YKepWQboSIRi63WsWXhIMN+eWys= RSA 2048 bits (e 65537) / SHA1withRSA Valid until: Thu, 30 Sep 2021 14:01:15 UTC EXPIRED Weak or insecure signature, but no impact on root certificate

L&ouml;sche ich das aktuelle R3 aus der UTM, wird der Pfad nicht mehr mit ausgegeben aber verschieden Endger&auml;te k&ouml;nnen keine vertrauenvolle Verbindung mehr aufbauen. 
 Hat dazu jemand eine L&ouml;sung ohne die Endger&auml;te einstellen zu m&uuml;ssen?

Michael Henkes · Accepted Answer

Das 9.712 Update ist da und scheint alle LetEncrypt Probleme zu beheben

Michael Henkes · Answer

Habe die L&ouml;sung gefunden 
 Es gibt 2 verschiedene X1 Zertifikate: 
 Korrekt Fingerprint : CA:BD:2A:79:A1:07:6A:31:F2:1D:25:36:35:CB:03:9D:43:29:A5:E8 Veraltet Fingerprint : 93:3C:6D:DE:E9:5C:9C:41:A4:0F:9F:50:49:3D:82:BE:03:AD:87:BF 
 Download korrektes X1: https://letsencrypt.org/certs/isrgrootx1.pem 
 L&ouml;scht man das alte X1 (welches automatisch installiert wird bei LetsEncrypt Zertifikaten) und l&auml;d das korrekte hoch, sendet die WAF nur noch den g&uuml;ltigen Pfad 
 
 Die Zertifikate muss man nicht neu ausstellen. 
 W&auml;re super wenn das in Zukunft automatisch passiert @SOPHOS

Zeljko Lajic · Answer

Problem liegt daran das bei der Erstellung von Zertifikaten eine Option PREFERRED_CHAIN="ISRG Root X1" fehlt. Noch dazu kann man diese Option nur in aktuelle dehydrated Version 0.7.0 nutzen.. derzeit ist v0.6.5 in Verwendung ..und es geht nur mit Zertifikat Erzeugung, also auch mit diese Option, geht renew leider nicht. 
 Info: github.com/.../releases 
 ..wir k&ouml;nnen nur hoffen das SOPHOS dehydrated auf v0.7.0 so schnell wie m&ouml;glich updatet, sonst wird es echt m&uuml;hsam, n&auml;mlich nach jede Zertifikat Verl&auml;ngerung muss man die falsche CA wieder l&ouml;schen ...bei mir hab ich jetzt das auto-renew deaktiviert, ich brauche keine &Uuml;berraschungen mitten im betrieb.

Michael Henkes · Answer

Der Sophos Support hat scheinbar mein Problem gel&ouml;st: 
 - Mindestens Update 9.708 installieren 
 - Das korrekte CA X1 Zertifikat von Let&rsquo;s Encrypt in die UTM laden unter Certificate Management -> Certificate Authority 
 - Die beiden bestehenden Let's Encrypt CAs l&ouml;schen 
 - Let's Encrypt deaktivieren und erneut aktivieren unter Certificate Management -> Advanced -> Allow Let&rsquo;s Encrypt certificates . Apply nach jedem Schritt klicken 
 - Ein beliebiges Let's Encrypt Zertifikat erneuern oder erstellen 
 Seit 2 Wochen l&auml;uft es stabil obwohl das "falsche" X1 nachgeladen wird

WAF + Let's Encypt

Top Replies