Security Web Hosting

Lets Encrypt – DST Root CA X3 Certificate Expiration Problem und Behebung

Painkiller88,3K views

Am 30.09.2021 ist das DST-Root-CA-X3-Zertifikat abgelaufen, sodass viele Geräte im Internet Probleme mit der Verbindung mit Diensten und Zertifikaten haben, die diese Root-CA verwenden, einschließlich derjenigen, die Let’s Encrypt-Zertifikate verwenden.

Einige dieser problematischen Geräte sind Samsung Galaxy-Telefone, iPhones, VDI Zero- und Thin-Clients und sogar Sophos UTM-Firewalls.

Betroffene werden also beim Surfen zu Websites, die die kostenlosen Let’s Encrypt-Zertifikate verwenden, eine Reihe von Problemen feststellen, da zb. der Web Protection Web Filtering-Dienst der Sophos UTM-Firewall das Zertifikat als abgelaufen meldet und den Zugriff auf die Websites, die es verwenden, nicht erlaubt .


Bitte unterstützt meine Arbeit


Das Problem

Let’s Encrypt hat ursprünglich das Zertifikat „DST Root CA X3“ verwendet, um Let’s Encrypt-Zertifikate auszustellen. Im Laufe der Zeit und zunehmender Nutzung des Dienstes verwenden sie jedoch „ISRG Root X1“ und „ISRG Root X2“ als Root-CAs und „Let’s Encrypt R3“ als Zwischenzertifikat.

Ältere Geräte verwenden möglicherweise die ältere Root-CA, die heute (30. September 2021) abgelaufen ist. Weitere Informationen findet ihr unter https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

Die Reparatur

Um dieses Problem zu beheben, müsst ihr eurem Computer oder Gerät die 2 neuen Root-CAs hinzufügen.

Root-CA-Zertifikate (PEM-Format):

Zwischenzeugnis (PEM-Format):

Ihr könnt sie herunterladen, indem ihr auf die obigen Links klicken oder zu https://letsencrypt.org/certificates/ geht, um weitere Informationen zu erhalten und herunterzuladen, wenn ihr den obigen Links nicht vertraut.

Nachdem Ihr diese Root CAs und die Intermediate CA heruntergeladen und zu eurem Computer oder Gerät hinzugefügt habt, solltet ihr über die vollständige Zertifikatskette verfügen, um die Let’s Encrypt-Zertifikate zu validieren. Die Let’s Encrypt-Zertifikate, die auf von euch besuchten Websites verwendet werden und die ihr möglicherweise auf euren Servern bereitgestellt habt, sollten jetzt problemlos funktionieren.

Wenn weiterhin Probleme auftreten, könnt ihr versuchen, das Zertifikat „DST Root CA X3“ von euren vorhandenen Root-CAs zu löschen. Außerdem müsst ihr möglicherweise jede Software und/oder Browser schließen und erneut öffnen, damit sie mit dem neuen Zertifikat funktioniert.


WINDOWS


GUI Lösung

Ihr müsst die neuen Root Zertifikate die ihr oben runterladen könnt in den Zertifikatsstore einspielen.




CommandLine Lösung

Natürlich könnt ihr das Ganze auch über die CMD einspielen. Öffnet die CMD (Eingabeaufforderung) als Admin.
Ladet euch jeweils das der Zertifikat runter
führt folgenden Befehl aus:

certutil -ent -addstore Root isrgrootx1.der

Achtet dabei darauf zuerst mit der CMD in den Ordner zu navigieren in welchem das der Zertifikat liegt oder gebt den gesamten Pfad ein.


Das Selbe macht ihr noch mit dem 2. Zertifikat X2 (ebenfals im DER Format runterladen)
So stellt ihr sicher, dass falls ein Zertifikat nicht mehr funktioniert, ihr zumindest noch ein 2. für den Notfall habt auf das zurückgegriffen werden kann.

certutil -ent -addstore Root isrg-root-x2.der

Achtet auch hier wieder darauf zuerst mit der CMD in den Ordner zu navigieren in welchem das der Zertifikat liegt oder gebt den gesamten Pfad ein damit es gefunden wird.



MAC OS

Bei Mac OS müsst ihr die Zertifikate in den Schlüsselbund einfügen und dann noch sagen, dass sie Vertrauenswürdig sind, da sie sonst zwar importiert sind, aber mit einem roten x angezeigt werden.

Die Zertifikate können entweder bei Anmeldung oder System importiert werden.

GUI Lösung


Um das zu bearbeiten, müsst ihr den Schlüsselbund entsperren um Änderungen machen zu können.




CommandLine Lösung

Führt folgenden Befehl im Terminal aus

sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain <certificate>

Auch hier das Zertifikat mit Pfad angeben statt <certificate>
Mit diesem Befehl könnt ihr die DER Zertifikate direkt in den System-Zertifikatsspeicher importieren.





HTTPS Scanning/Filtering Firewall Fix (Sophos UTM als Beispiel)

Wenn ihr über eine Firewall verfügt, die HTTPs-Datenverkehr scannt, müsst ihr die oben genannten Zertifikate zur Liste der HTTPS-Zertifizierungsstellen hinzufügen.

Um dies beispielsweise auf der Sophos UTM Firewall zu beheben, befolgt die folgenden Anweisungen:

  1. Ladet die 3 Zertifikate oben herunter.
  2. Meldet euch bei eurer Sophos UTM an
  3. Navigiert zu „Web Protection“, „Filtering Options“ und „HTTPS CAs“.
  4. Deaktiviert das alte Zertifikat „Digital Signature Trust Co. DST Root CA X3“ in der Liste.
  5. Navigiert mithilfe von „Lokale Zertifizierungsstelle hochladen“ zu einem der 3 Zertifikate, wählt es aus und klickt dann auf „Hochladen“.
  6. Wiederholt Schritt 5 für jedes der 3 oben aufgeführten Zertifikate.
  7. Das Problem wurde behoben! Ihr solltet nun alle 3 Zertifikate in der Liste „Lokale Verifizierungs-CAs“ sehen.

Die Schritte sollten für andere Firewalls ähnlich sein, die HTTPS-Scannen und -Filtern bereitstellen.

Related posts

CWP – Roundcube auf Version 1.5.6 updaten

CWP – MariaDB auf eine neue Version updaten

Verbessern des Nachrichtenflusses mit MTA-STS

8 comments

Wilander 05/10/2021 - 19:20
Ich lösche DST Root CA X3 immer und immer wieder von Windows (7 Service Pack 1), bekomme es aber immer wieder zugestellt bei Seiten, also das alte. Und Opera greift immer wieder darauf zurück und verweigert dann die Verschlüsselung bei Seiten, da es eben abelaufen ist. Der Zertifizierungspfad: DST Root CA X3 (das abgelaufene) -> ISRG Root X1 - R3 - und dann die Seite. So wird das angezeigt. Bei manchen Seiten in Opera steht außerdem, dass sie HSTS verwenden.
Painkiller 05/10/2021 - 19:42
Dann hast du es falsch importiert. Du musst ISRG Zertifikate als .der Format runterladen und unter "Third Party Root Certification Authorities" oder eben bei "trusted Root Certification Authorities" einspielen. Natürlich kannst du es auch einfach über die CMD einspielen (Pfad beachten) certutil -ent -addstore Root isrgrootx1.der Dann den Browser Neustarten, dann klappt es auch bei Win 7 Es ist egal ob du weiterhin das alte CA X3 bekommst, solange du ein gültiges ISRG hast wird das verwendet.
Wilander 05/10/2021 - 20:37
Danke für die Hilfe! Seltsamerweise hat es bei „Third Party Root Certification Authorities“ nicht geklappt, aber bei „trusted Root Certification Authorities“.
Deramon 21/10/2021 - 05:10
DANKE, man! Seit Ende Sept. wunderte ich mich, warum das halbe Internet für mich nicht mehr aufrufbar ist, bis mir der Zusammenhang mit den R3 Zertifikaten auffiel. Also dachte ich, ich könnte das manuell richten (wie hier beschrieben) da ich das schon einmal so gemacht habe. Meine Google Suche brachte mich aber statt zu Zertifikaten vorerst nur zu Foren, wo es hieß dass dieses Problem für 8.1 Nutzer wie mich (und älter) vorerst nicht zu lösen wäre, da es an den nötigen Updates mangelt und Zertifikate die man manuell einfügen könne, gäbe es nicht dafür. Das "Winfuture" Pack könne evt dabei helfen - die Seite konnte ich aber AUCH nicht aufrufen und auch der DL-Assistent von Drittanbietern ließ mich aufgrunddessen natürlich im Stich. Ich bin verzweifelt! :-D Seit Wochen bekam ich überall "net err_cert_date_invalid" angezeigt und ALLE üblichen Lösungsversuche diesbezüglich schlugen fehl, bis mir diese Gemeinsamkeit mit dem Zertifikat auffiel. Da heute immer mehr für mich nicht funktionierte, gab ich die Suche nach einer Lösung nicht auf und stieß auf diese Seite. Erst übereifrig das Intermediate falsch importiert, aber zum Glück noch schnell bemerkt. Jetzt funktioniert alles endlich wieder, wunderbar! (Du kennst dich nicht zufällig auch mit Explorer.exe Fehlermeldungen aus? ;-) Aber das ist leider auch kein Problem mit meinem Betriebssystem alleine - mein PC weigerte sich nur plötzlich, Zugriff auf Bilddateien auf Compact Flash Karten meiner Canon Spiegelreflex zu gewähren. Da ich das Problem nicht lösen konnte, das doofe Irfan View als neuen Bildbetrachter gewählt und da ging es wieder. Bis heute, nun geht es wieder nicht mehr. Aber jetzt verzweifle ich wenigstens nur noch daran, nicht auch an "net err_cert...") also - THX!
Painkiller 21/10/2021 - 13:18
Freut mich, dass ich dir helfen konnte. Bezüglich des Explorer Problems, schick mir da mal ne Mail am besten auch mit screenshots der Fehlermeldung und was du da genau machst.
Frank Klaus 22/10/2021 - 11:30
Danke für den o.g.Artikel . Dadurch konnte mein Medion E1222 wieder sichere Verbindungen bei allen Webseiten unter Windows 7 Starter aufnehmen. Bei mir musste das R3-Certifikat (und die anderen) als Stamm-Zertifikat mit den GUI Assistenten installiert werden. VG Frank
Anni 24/11/2021 - 21:10
DANKE!!!! zwei Monate ging bei mir die dämliche meinetonies.de nicht und ich wollte diverse Kreativtonies bespielen (Eltern wissen eventuell was ich meine). Deine Problemlösung hier war auch endlich die meine!!! Obwohl ich null Ahnung von solchen Dingen habe...
Painkiller 25/11/2021 - 10:33
Sehr gerne. Freut mich wenn es dir half und leicht umsetzbar war :)
Add Comment

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Read More