[gelöst] Aktuelles CA-Bundle akzeptiert Let's Encrypt Zertifikate nicht mehr

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
rne
Beiträge: 30
Registriert: 29.05.2017 14:15:13
Lizenz eigener Beiträge: GNU Free Documentation License

[gelöst] Aktuelles CA-Bundle akzeptiert Let's Encrypt Zertifikate nicht mehr

Beitrag von rne » 28.09.2017 13:08:57

Moin,

auf unserem Debian 8.9 Server werden seit dem letzten Update am Montag keine von Let's Encrypt ausgestellten TLS Zertifikate mehr akzeptiert:

Beispiel PHP:

Code: Alles auswählen

PHP Warning:  file_get_contents(): SSL operation failed with code 1. OpenSSL Error messages:
error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed in <php_file> on line 19
PHP Warning:  file_get_contents(): Failed to enable crypto in <php_file>  on line 19
PHP Warning:  file_get_contents(https://<domain>/index.html): failed to open stream: operation failed in <php_file> on line 19
Bispiel wget:

Code: Alles auswählen

$ wget <url>
pathconf: Keine Berechtigung
pathconf: Keine Berechtigung
--2017-09-28 13:03:00--  <url>
Auflösen des Hostnamen »<host> (<host>)«... <ipv4_addr>
Verbindungsaufbau zu <host> (<host>)|<ipv4_addr>|:443... verbunden.
FEHLER: Dem Zertifikat von »<host>« wird nicht vertraut.
FEHLER: Das Zertifikat von »»<host>«« wurde von einem unbekannten Austeller herausgegeben.
Wie bewege ich Debian dazu, den Zertifikaten wieder zu vertrauen?
Von meiner ArchLinux Workstation aus kann ich die betreffende Seite mit Firefox und Chrome ansurfen und bekomme in der Adressleiste dieses "sicher" Symbol angezeigt.
Aber auch unter Arch mecker wget wie oben.
Was ist da los?
Zuletzt geändert von rne am 28.09.2017 14:01:22, insgesamt 1-mal geändert.
Der Nachteil der Intelligenz besteht darin, daß man ununterbrochen gezwungen ist, dazuzulernen. -- George Bernard Shaw

rne
Beiträge: 30
Registriert: 29.05.2017 14:15:13
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Aktuelles CA-Bundle akzeptiert Let's Encrypt Zertifikate nicht mehr

Beitrag von rne » 28.09.2017 14:01:09

PEBCAK. :facepalm:

Das Ändern von

Code: Alles auswählen

ssl_certificate /etc/letsencrypt/live/<my_cert>/cert.pem;
nach

Code: Alles auswählen

ssl_certificate /etc/letsencrypt/live/<my_cert>/fullchain.pem;
brachte den Erfolg. :THX:
Der Nachteil der Intelligenz besteht darin, daß man ununterbrochen gezwungen ist, dazuzulernen. -- George Bernard Shaw

Antworten