<!DOCTYPE html>
<html data-lt-installed="true">
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body style="padding-bottom: 1px;">
    Hallo Hartmut,<br>
    <br>
    also der Webserver welcher <span style="font-family:monospace">gehetzt-1.goe-con.de
      ausliefert hat definitiv kein Zertifikat von Let's Encrypt.<br>
      Das Zertifikat ist von "</span><span class="info">Goebel Consult
      Certificate Authority" zertifiziert.<br>
      <br>
      Ich weis ja nicht was du als Webserver benutzt und wie du es da
      eingebunden hast aber auf alle Fälle hast du ein Zertifikat dort
      eingebunden welches von deiner eigenen Zertifizierungsstelle
      signiert ist und nicht irgend eins von Let's Encrypt.<br>
    </span>
    <pre class="moz-signature" cols="72">With kind regards / met vriendelijke groeten / mit freundlichen Grüßen / cordialement / 最友好的祝福 / التحيات أطيب مع /   با احترام / शुभकामनाओं सहित / בכבוד רב
Markus Weber
Frankfurt (Main) / Germany

</pre>
    <div class="moz-cite-prefix">Am 01.08.24 um 18:09 schrieb Hartmut
      Goebel:<br>
    </div>
    <blockquote type="cite"
      cite="mid:7e133c10-92ee-401e-bf66-9ca778983163@goebel-consult.de">
      <meta http-equiv="content-type" content="text/html; charset=UTF-8">
      <p>Hallo zusammen,</p>
      <p>eigentlich hätte ich gedacht, dass ich ein ausreichendes
        Verständnis von SSL habe, aber anscheinend doch nicht. Auch
        meine Suchen im Internet haben keine Lösung gebracht.<br>
      </p>
      <p>Seit dem letzten automatischen ACME/Let's
        Encrypt-Zertifikatsupdate wird das Zertifikat nicht mehr als
        gültig akzeptiert.</p>
      <p>Hat jemand eine Idee?<br>
      </p>
      <p>Ich habe:</p>
      <p>- cert.pem: das Zertifikat, signiert von "C = US, O = Let's
        Encrypt, CN = R10"<br>
        - intermediate.pem, das Zertifikat für "C = US, O = Let's
        Encrypt, CN = R10"<br>
      </p>
      <pre><span style="font-family:monospace"><span
      style="color:#000000;background-color:#ffffff;">$ openssl verify -show_chain intermediate.pem
</span>intermediate.pem: OK
Chain:
depth=0: C = US, O = Let's Encrypt, CN = R10 (untrusted)
depth=1: C = US, O = Internet Security Research Group, CN = ISRG Root X1</span></pre>
      <pre><span style="font-family:monospace"></span></pre>
      <p> Soweit so gut.</p>
      <p><span style="font-family:monospace"><span
            style="color:#000000;background-color:#ffffff;"># openssl
            verify -show_chain -untrusted inter</span>mediate.pem
          cert.pem <br>
          cert.pem: OK <br>
          Chain: <br>
          depth=0: CN = gehetzt-1.goe-con.de (untrusted) <br>
          depth=1: C = US, O = Let's Encrypt, CN = R10 (untrusted) <br>
          depth=2: C = US, O = Internet Security Research Group, CN =
          ISRG Root X1<br>
        </span></p>
      <p>Schaut auch nicht schlecht aus.</p>
      <p>Als Zertifikatsfile, dass der Server ausliefern soll, habe ich
        cert_intermediate_dhparam.pem eingestellt.</p>
      <pre>$ cat cert.pem intermediate.pem > cert_intermediate.pem
$ cat cert_intermediate.pem dhparam.pem > <span
      style="font-family:monospace"><span
      style="color:#000000;background-color:#ffffff;">cert_intermediate_dhparam.pem
</span></span><span style="font-family:monospace"><span
      style="color:#000000;background-color:#ffffff;">$ openssl verify -show_chain cert_intermediat</span>e.pem
CN = gehetzt-1.goe-con.de
error 20 at 0 depth lookup: unable to get local issuer certificate
error cert_intermediate.pem: verification failed</span></pre>
      <pre><span style="font-family:monospace"></span></pre>
      <p>Bemerkenswert könnte noch sein, dass der Zertifizierte
        Schlüssel ein RSA-Key ist, "R10" aber einen <span
          style="font-family:monospace">ECDSA verwendet<br>
        </span> </p>
      <div class="moz-signature">-- <br>
        <span style="color:black"> Schönen Gruß <br>
          Hartmut Goebel <br>
        </span> <span style="font-size:smaller">Dipl.-Informatiker
          (univ), CISSP, CSSLP, ISO 27001 Lead Implementer</span><br>
        <span style="font-size:smaller">Information Security Management,
          Security Governance, Secure Software Development</span>
        <p style="color:black" lang="de"> Goebel Consult, Landshut <br>
          <a style="color:black" href="http://www.goebel-consult.de"
            class="moz-txt-link-freetext" moz-do-not-send="true">http://www.goebel-consult.de</a>
        </p>
        <p style="color:grey;font-size:smaller"> Blog: <a
style="color:grey !important;text-decoration:none !important"
            href="https://www.goebel-consult.de/blog/2019/geht-waehlen/"
            class="moz-txt-link-freetext" moz-do-not-send="true">https://www.goebel-consult.de/blog/2019/geht-waehlen/</a>
          <br>
          Kolumne: <a
style="color:grey !important;text-decoration:none !important"
href="https://www.goebel-consult.de/blog/cissp-gefluester/2011-09-kommerz-ueber-recht-fdp-die-gefaellt-mir-partei/"
            class="moz-txt-link-freetext" moz-do-not-send="true">https://www.goebel-consult.de/blog/cissp-gefluester/2011-09-kommerz-ueber-recht-fdp-die-gefaellt-mir-partei/</a>
        </p>
      </div>
      <br>
      <fieldset class="moz-mime-attachment-header"></fieldset>
      <pre class="moz-quote-pre" wrap="">_______________________________________________
SAGE mailing list
<a class="moz-txt-link-abbreviated" href="mailto:SAGE@guug.de">SAGE@guug.de</a>
<a class="moz-txt-link-freetext" href="https://lists.guug.de/cgi-bin/mailman/listinfo/sage">https://lists.guug.de/cgi-bin/mailman/listinfo/sage</a>
</pre>
    </blockquote>
    <br>
  </body>
  <lt-container></lt-container>
</html>