SSL Zertifikatsproblem

Domi

Blog Benutzer
Moin... alles klar und schon mal vielen Dank.

Der Speicher im OS... dies war auch mein erster Gedanke, hab dann aber überlegt ob ich jetzt doch falsch denke. Denn die Root CA sind ja eigentlich dazu da, das auf der Webseite hinterlegte Zertifikat gegen zu prüfen (oder so). Dann muss ich mal schauen wie unter Windows 10 / 11 der Speicher aktualisiert wird. Musste das ja noch nie machen und das lustige ist ja, bei einem völlig neu installierten System, wäre ich davon ausgegangen, dass die CA zumindest sehr aktuell sind.
 

danton

Debian User
Browser nutzen einen eigenen unabhängigen Zertifikatsspeicher und nicht den vom OS.
(Nahezu) Alle andere Software (wie etwa PHP/curl bei Nextcloud) nutzt den Zertifikatsspeicher des OS.
Domi spricht hier von einem Windows-Notebook und da muss ich dir wiedersprechen. Unter Windows verwenden die meisten Browser den Zertifikatsspeicher von Windows, nur Mozilla hat einen eigenen (Firefox, Thunderbird, etc.). Google plant aber wohl, in Chrome zukünftig auch einen eigenen CA-Store zu verwenden.
Windows hält seit Windows 10 nur noch ein paar MS-Zertifikate im CA-Store vor, der Rest wird bei Bedarf vom Windows-Update geholt (einzeln, nicht das komplette Paket). Dazu einfach einmal die Seite mit der Nextcloud im Edge aufrufen, dann ist die CA auch im Speicher und der Nextcloud-Client ist beim nächste Aufruf auch wieder glücklich.
 

Joe User

Zentrum der Macht
Windows hält seit Windows 10 nur noch ein paar MS-Zertifikate im CA-Store vor, der Rest wird bei Bedarf vom Windows-Update geholt (einzeln, nicht das komplette Paket).
OK, das war mir nicht bewusst :( Hast Du da zufällig einen Dokumentations-Link parat, das würde mir etwas Sucharbeit sparen, danke.
 

Domi

Blog Benutzer
OK, es scheint wirklich so, dass Nextcloud nicht mehr fragt, wenn ich mit dem edge vorher die Domain aufgerufen habe. Das muss ich später auch mal mit dem Thunderbird testen, ob es da auch so ist oder ob das da ein anderes Phänomen ist. Aber interessant zu wissen...

Ich denk und hoffe aber mal, dass in den nächsten Tagen / Wochen das Thema dann auch wieder vergessen ist, weil alle SSL / TLS Zertifikate wieder korrekt ausgestellt wurden.
 

danton

Debian User
@Joe User Ich muss auch ein wenig suchen, aber dieses Abfragen von Windows Update für Zertifikate gibt es wohl schon seit Vista: https://docs.microsoft.com/en-us/pr...cates-communicates-with-sites-on-the-internet Ansonsten hat MS an verschiedenen Stellen in seiner Support-Webseite einzelne Infos gestreut, was das Thema betrifft, aber ich habe nichts gefunden, was das umfänglich beschreibt. Das nur noch eine Handvoll MS-Zertifkate im WIM-Images der Installationsmedien ist, ist aber meines Wissens erst seit Windows 10 der Fall (und dessen Server-Gegenstücken). Man findet auch einige Anleitungen bei Google, wie man sich mit ein paar Commandline- und Powershell-Befehlen einmal den kompletten Satz abholt und im Zertifikatsspeicher ablegt.
@Domi Das Problem ist nicht, dass die Zertifikate auf dem Server abgelaufen sind. Lets Encrypt nutzt ein Zwischenzertifikat, dass von der eigenen und einem IdenTRust Zertifikat crosssigniert ist. Das Root-Zertifikat von Identrust ist am 30.09.2021 abgelaufen und das weiterhin gültige Root-Zertifikat von Lets Encrypt war bei dir noch nicht im Zertifikatsstore. Durch Aufruf der Webseite im Edge (evtl. auch schon dem Chrome-Browser) hat dafür gesorgt, dass Windows dieses Root-Zertifikat von Windows Update abgerufen und in der Zertifikatsstore abgelegt hat. Thunderbird läuft davon unabhängig, da Mozilla einen eigenen Zertifikatsstore verwendet und dort das Lets Encrypt Root-CA drin ist.
 

Domi

Blog Benutzer
Das Problem ist nicht, dass die Zertifikate auf dem Server abgelaufen sind.
Jop, so hatte ich das auch in dem Heise Artikel verstanden, den ich gefunden hatte... Und meine Vermutung war dann, dass ich Lets Encrypt auf dem Server komplett neu machen soll... bis mir eingefallen war "Moment, dass ergibt ja irgendwie keinen wirklichen Sinn" und hatte dann gesucht wie ich das am sinnvollsten geklärt bekomme.

Aber nun scheint es ja zu klappen... hoffe ich :D
 

Joe User

Zentrum der Macht
@danton Danke, viel mehr konnte ich dazu jetzt auch nicht finden, ausser, dass es Domis Problem wohl nur dann gibt, wenn man die automatischen Updates von Windows (temporär) deaktiviert (entweder aktiv im Menü oder passiv per Gruppenrichtlinien).
Sofern vorhanden, können auch die Proxyeinstellungen und/oder diverse VPNs derartige Probleme verursachen.

Mehr konnte ich dazu aber auf die Schnelle auch nicht finden.
 

Andi1977hb

New Member
Hallo,
also ich habe dann mal beide Server auf Updates geprüft.. Der auf dem der Fehler auftritt, also die VM mit der Moderatorenverwaltung (mit Ubuntu 14.04.06 LTS) und den auf dem der zu schaltende AutoDJ läuft (Debain 9.x).

Den Debian Server habe ich geupdatet ..ohne Probleme.. Zertifikate aktuell.. OS aktuell..
Beim Server auf dem die Moderatorenverwaltung läuft hab ich erst einen Snapshot gemacht und ihn dann mal upgraden lassen auf die Version 16.04.7 LTS.. Der Zertifikatsfehlr war danach weg (!) und die gestörte Funktion wieder steuerbar. Allerdings liefen dann erstmal andere Dienste/Anwendungen nicht (mehr) sauber.. daher erstmal das Snapshot wieder zurück gespielt.

Ich fürchte man kommt aber nicht drum herum (was mir ja eigtl auch bewußt ist) zu upgraden ?? Aber evtl gibt es doch noch irgendwelche Optionen unter 14.04.06 das Zertifikatsproblem mit curl zu beheben ?
 

danton

Debian User
Du kannst den den CA-Store unter Ubuntu um eigene Zertifikate ergänzen, was zwar dein Zertifikatsproblem lösen würde, aber nicht die auf deinem System vorhandenen Sicherheitslücken schließt. Dafür reichte es auch nicht aus, auf Ubuntu 16.04 zu aktualisieren, sondern mindestens auf 18.04 oder noch besser auf die aktuellste LTS 20.04 von Ubuntu. Bei jedem Versionswechsel wird auch die über das Ubuntu-Repository installierte Software aktualisiert, so dass ggfl. bei einzelnen Sachen die Konfigurationsdateien angepasst werden müssen. Bei Software aus Fremdrepositories, aus anderen Quellen oder selbst kompiliert muss ggfl. manuell auf die zur neuen Ubuntu-Version passende Version upgedatet werden (plus Konfig-Anpassungen). Wenn du das Update durchführst, dann am besten stufenweise, also auf die 16.04, dann die Konfiguration der nicht mehr korrekt laufenden DIenste anpassen, dann auf 18.04 und ggfl. noch auf 20.04. Die LTS-Versionen bekommen 60 Monate Support von Ubuntu (die anderen nur 9), d.h. der Support für die 16.04 ist im April 2021 ausgelaufen. Bei der 18.04 hast du noch bis April 2023 Zeit, um dann mind. auf 20.04 updaten zu müssen.
Bezüglich deines Debian-Systems: Auf welche Version hast du das upgedatet? Debian 9 ist mittlerweile im LTS gelandet, da werden aber einige Pakete nicht mehr weiter mit Updates versehen und der LTS-Support endet im Juni 2022. Daher empfiehlt sich hier, mind. auf Debian 10 oder noch besser Debian 11 upzudaten. Siehe https://wiki.debian.org/DebianReleases
 

GwenDragon

Registered User
@Joe User Gibt keinen Grund was Plesk anzulasten.
Wer sich regelmäßig informiert und seine Serverzertifikate aktuell hält, bekommt kein Problem.

Was die Browser anbelangt, sind die meisten Leute selbst schuld, wenn sie ihr Desktop OS nicht aktuell halten und alte Zertifikatspackages am Laufen.
 

Thunderbyte

Moderator
Staff member

Das Problem liegt auf der Clientseite. Wenn da die Zertifikat annehmende Komponente diese neue Root CA nicht drin hat, gibts das Problem. Ich vermute, dass neuere Versionen des OS / der verwendeten Pakete diese (neue) Root CA drin hätten.
 

Joe User

Zentrum der Macht
@Joe User Gibt keinen Grund was Plesk anzulasten.
Doch, da Pest^WPlesk unter Anderem eigene PHP-Pakete mitbringt und wenn diese Pakete dann von der im ersten Post genannten Moderationssoftware genutzt werden, dann ist Pest^WPlesk durchaus etwas anzulasten.
Das System des TE und seine Moderationssoftware sind hier lediglich Beispiele für alle anderen derartigen, nicht unüblichen, Konstellationen da draussen und muss so nicht zwingend auf den TE zutreffen.

Wer sich regelmäßig informiert und seine Serverzertifikate aktuell hält, bekommt kein Problem.
Etwas, dass für die überwiegende Mehrheit der Pest^WPlesk-Nutzer leider unzutreffend ist...
 

GwenDragon

Registered User
Man darf sich auch nicht auf Plesk verlassen, nur weil das so ein schönes Klickbuntu-UI ist.

Wer Angst vor der Shell hat, wenig Linux-Kenntnisse hat, sollte die Finger von tiefergeheder Administration lassen oder zuahuse auf einem virtuellen Linux-Server erst mal üben.

Dass Plesk eigeen PHP-Pakete schnürt, ist nett, kann aber zu Nerverein führen, das müssen Root-Admins eben wissen und lernen. Oder die Feinger davon lassen.

Vielleicht kann ich auch besser mit Shell und verbuggsten Klickbunti umgehen, weil ich mich seit ca. 1980 mit Terminal & Co, UNIX, Mac, CP/M, Windows, MS-DOS und diversen RTOS rumschlagen musste.
 

GwenDragon

Registered User
da Pest^WPlesk unter Anderem eigene PHP-Pakete mitbringt
Es gibt doch die PHP.ini mit diese Konfig für die Zertifikate:
curl.cainfo
openssl.cafile

Aber die wird doch wohl niemand selbst setzen und Plesk setzt die nicht.

Das einzige was Plesk verbocken könnte, ist Zertifikate nicht neu auszustellen mit der neue Zertifikatskette. Kann aber mit certbot auch passieren.

Aber egal, ich will auch nicht irgendein UI verteidigen, man kann mit jedem scheitern, wenn man nich tauch Internes kennt.
 

danton

Debian User
Man darf sich auch nicht auf Plesk verlassen, nur weil das so ein schönes Klickbuntu-UI ist.
Das ist aber das Problem bei den Serveranbietern. Die verkaufen den Kunden Plesk als den Alleskönner z.B. Strato: https://www.strato.de/server/plesk-panel/ Erfahrene Linux-Admins wissen, dass das nicht stimmt, aber Laien wird dort was anderes suggeriert (die Server sind sicher und die Administration ist einfach).
Aber wir schweifen vom ursprünglichen Thema ab. Der TE verwendet ein System, welches seit 2,5 Jahre EoL ist und entsprechend veraltet sind auch die CA-Zertifikate auf dem System. Klar kann man das neue Root CA von Lets Encrypt manuell hinzufügen, aber sinnvoll ist nur, das System auf eine Ubuntu-Version zu bringen, die noch Support erhält und entsprechend auch aktuelle CA-Zertifikate direkt mitbringt (und viele Sicherheitslücken schließt, was noch viel wichtiger ist).
 

GwenDragon

Registered User
aber Laien wird dort was anderes suggeriert (die Server sind sicher und die Administration ist einfach).
Jeder darf einen Server mieten, dazu braucht es keinerlei Befähigung. Serverhoster wollen verkaufen, das ist irh Geschäftsmodell.

Klar, ist das ein Problem, dass Anfänger naiv sind, ihr System so verbocken können, dass es andere angreifen kann, daran ändert auch eine Benutzeroberfläche nichts.
 

Domi

Blog Benutzer
Auch wenn es Off-Topic wird, an Plesk finde ich kacke, dass es wirklich seinen eigenen Brei mit sich bringt und die üblichen Linux User / Admins wie wir (wobei ich da echt klein bin) zum verzweifeln bringt. Meinen ersten Server (ca. 2004) hatte ich von 1und1 mit Plesk... als es Fragen gab, kam von den anderen Usern (könnte auch hier aus dem Forum sein) die Information, dass die Settings die Plesk vorgenommen hat, so gar keinen Sinn ergeben.

Persönlich muss ich sagen, da finde ich z.B. das ISPconfig System viel schöner / eleganter, denn es macht nichts ganz komisches mit den Paketen. Möchte ich an Dovecot oder Postfix (oder irgend ein anderer Dienst) etwas anpassen, sehen die Dateien wenigstens noch so aus wie sie sein könnten. Plesk hat damals auf Qmail gesetzt (glaube so hieß der) und als ich halt Fragen hatte, war die Config zu verändert, dass die Leute in den Foren fragten warum diese so ist wie sie ist.

Pest^WPlesk
Woher kommt eigentlich genau dieser Name oder diese Bezeichnung?

Die URL an dem betroffenen Client mit EDGE öffnen, scheint wirklich das Phänomen zu klären... aber könnte schon besser gelöst sein. Doch es klappt :)

Gruß, Domi
 

Joe User

Zentrum der Macht
Woher kommt eigentlich genau dieser Name oder diese Bezeichnung?
Das ^W bedeuted in den meisten Shells, dass das direkt davor stehende Wort (genauer die Zeichenfolge bis zum letzten Leerzeichen/Worttrenner) gelöscht werden soll. So wird dann auf der Console aus dem Wort "Pest" das Wort "Plesk". Und da Plesk für die meisten seriösen SysAdmins sich wie eine Pest anfühlt, erklärt sich der Rest dann von selbst ;)
 

Domi

Blog Benutzer
Ah... Reguläre Ausdrücke (oder so ähnlich)... ich weiß aber was gemeint ist und ja, dass erklärt sich auf jeden Fall von selbst.

Von der UI scheint Plesk hier und da ein paar nette Features zu haben, aber auf shell ebene ist es echt ein Graus. Mein Beispiel hatte ich ja hier drüber schon genannt. Da bin ich mit ISPconfig doch schon sehr zufrieden... da versteht man auch, was das Tool bei den Anpassungen der Config Dateien gemacht hat und kann selbst noch mal an Postfix, Dovecot, Apache etc. Hand anlegen.
 
Top