DSM 6.x und darunter Nach Certificate Renewal (Lets Encypt) zeigt Browser Certificate Revoked

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

jus7incase

Benutzer
Mitglied seit
13. Sep 2012
Beiträge
113
Punkte für Reaktionen
9
Punkte
18
Ich habe eine DS als Server für diverse sync services und als Web Server für den WAN-Zugriffe freigeschaltet.
Die services waren über Dynamic DNS adressierbar und für jede DDNS Domain hatte das DSM ein Lets Encrypt Zertifikat.
Die Zertifikate sind abgelaufen und entsprechend haben dies die verschiedenen Clients gemeldet.

Unter Control Panel > Security > Certificate habe ich die "Renew Certifikate" für die abgelaufenen Zertifikate angestoßen. Die Zertifikate wurden bis zum 19. Jan 2020 verlängert, das sind gerade mal 3 Monate. Das ist ärgerlich aber nicht das Problem.

Das Problem:
Die Clients melden weiterhin ungültige Zertifikate und wenn ich mit Firefox die Webseite aufrufen will (HTTPS, 443) sagt er mir Cerificate Revoked.

Was ist hier los, und wie komme ich wieder in einen Zustand, dass die Zertifikate gültig sind?

Vielen Dank für eure Zeit!
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
721
Punkte für Reaktionen
136
Punkte
69
Das Zertifikat neu ausstellen und nicht erneuern !
 

PhilAd

Benutzer
Mitglied seit
21. Okt 2019
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich habe das selbe Problem. Nachdem ich unter Einstellungen -> Sicherheit -> Zertifikat die Funktion 'Zertifikat erneuern' ausgeführt habe, wurden verständlicherweise die laufenden Zertifikate von der CA revoked und neue ausgestellt, die mir auch mit neuem Ablaufdatum (in 3 Monaten) im DSM angezeigt werden. Rufe ich nun eine verschlüsselte Webseite auf oder hole verschlüsselt meine E-Mails ab, wird allerdings serverseitig das alte und damit zurückgezogene Zertifikat zur Verifizierung angezeigt, was der Browser natürlich ablehnt (Ich habe das ungültige Zertifikat manuell angenommen, damit ich überhaupt irgendwas machen kann).
Ich hatte vermutet, dass mir ein Neustart helfen würde die neuen Zertifikate in den Webserver/Mailserver, etc. zu bekommen, aber es hat nicht geholfen.

Wie bekomme ich das NAS nun dazu die alten Zertifikate durch die neuen zu ersetzen, die ja anscheinend im DSM vorhanden sind?! In der Vergangenheit hat das immer funktioniert?! Gibt es aktuell einen Bug und eine Möglichkeit es manuell zu machen? Wie genau ist das mit neu ausstellen gemeint? Löschen und neu beantragen?
 
Zuletzt bearbeitet von einem Moderator:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Ja, löschen und neu ausstellen lassen.

Alte Zertifikate laufen aus und werden nicht "revoked". Dafür gibt es ja das Ablaufdatum.

Das Problem ist hier vermutlich dass ein Intermediate oder root-CA oder cross-signed-root-CA etc. abgelaufen oder zurück gezogen wurde.
Da geht es nicht um deine lokalen Zertifikate.
Erst bei einer Neuausstellung (nicht Erneuerung) wird ein eventuell geänderter root-CA Kontext berücksichtigt.
 

PhilAd

Benutzer
Mitglied seit
21. Okt 2019
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hi Fusion,

vielen Dank für die erklärenden Antwort. Damit sollte dies eher ein Ausnahmefall sein und nicht die Regel. Ich habe die Zertifikate gelöscht und neue ausstellen lassen und jetzt funktioniert das Ganze auch wieder.

Viele Grüße
 

jus7incase

Benutzer
Mitglied seit
13. Sep 2012
Beiträge
113
Punkte für Reaktionen
9
Punkte
18
Bei mir hat das Löschen und Neu Austellen bei allen bis auf die Haupt-Domain funktioniert.
Bei der Haupt-Domain funktioniert das löschen nicht "operation failed".
Und plötzlich nach etwas warten verschwindet dann das Zertifikat.

Dumm ist nur dass ich vorher ein paar mal Replace versuchte hatte (was nicht ging) und dann Lets Encrypt sagte, dass meine Anzahl erlaubter Zertifikate für diese Domain aufgebraucht ist. Da Lets Encrypt die PublicSuffix Liste verwendet, sollte es kein Problem sein, dass es sich um eine subdomain zu einer Dynamic DNS domain handelt (denn diese ist in der Liste als Public Suffix eingetragen).

Mir ist nicht klar, genau welches Rate Limit ich gerissen habe (https://letsencrypt.org/docs/rate-limits/), denn die Anzahl der Versuche war heute kleiner als 5!

Bleibt das permanent so, oder kann man nach einer bestimmte Zeit wieder Zertifikate erstellen? Hat jemand eine Ahnung, welches Rate Limit hier zugeschlagen hat?
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Ohne genaue Angaben was wo wie viele... Kann dir keiner genau sagen welches Limit gerissen wurde, nur fag es nach Stunden bis Tagen / Woche wieder aufgehoben wird.
 

jus7incase

Benutzer
Mitglied seit
13. Sep 2012
Beiträge
113
Punkte für Reaktionen
9
Punkte
18
hatte ich geschrieben. weniger als 5 mal Zertifikat angefragt für DDNS dubdomain (mydomain.ddns.net).
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Du hattest was von Hauptdomain etc erzählt.
Dass sich die Angabe 5 nur auf ein Zertifikat mit EINER Domain sub.ddns.net bezieht war für mich nicht eindeutig.
Wo das genaue Limit (ich nehme mal an es ist einfach ein hohes gesetzt und nicht komplett unbeschränkt) für white-list Domains liegt weiß ich nicht. Einfach am nächsten Tag wieder probieren.
 

jus7incase

Benutzer
Mitglied seit
13. Sep 2012
Beiträge
113
Punkte für Reaktionen
9
Punkte
18
Hab ich gemacht, leider noch geblockt. Manche Apple tools (iOS Mail, macOS iCal) sind sehr nervig wenn das Zertifikat fehlt... hoffentlich klappts bald.
 

Miba

Benutzer
Mitglied seit
29. Okt 2012
Beiträge
8
Punkte für Reaktionen
0
Punkte
1
Auch eines meiner Zertifikate ist zurückgezogen worden. Nur habe ich jetzt Probleme ein neues zu bekommen. In /var/log/messages steht immer die Fehlermeldung "The key authorization file from the server did not match this challenge". Ein renew eines anderen Zertifikates hat einwandfrei funktioniert. An Port 80 kann es also nicht liegen. Was könnte es noch sein?
 

ch-nas

Benutzer
Mitglied seit
01. Nov 2010
Beiträge
75
Punkte für Reaktionen
0
Punkte
6
Danke für den Tipp.
Ich könnte schwören, in der Vergangenheit hat es mit "erneuern" geklappt.
Ich habe jetzt auch wieder erneuert. Ich erhielt aber in allen Browsern den Fehler, dass das Zertifikat ungültig (abgelaufen) ist, obschon das erneuerte installiert war. Auch das Löschen des Cache hat nicht geholfen.
Ich hab dann ein neues Zertifikat erstellt und siehe da, es geht wieder.
Mir zwar schleierhaft, ich hab seit Monaten jeweils erneuert...

Gruss,
Andreas
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
721
Punkte für Reaktionen
136
Punkte
69
Version: 6.2.2-24922-4

2. Fixed the issue where the certificate might not work properly when the renewal has failed.
3. Fixed the issue where manually renewed certificates may not be applied to certain services.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.187
Punkte für Reaktionen
874
Punkte
268
Ich könnte schwören, in der Vergangenheit hat es mit "erneuern" geklappt.

das ist richtig, aber nun wurde eines der LE Zwischenzertifikate revoked. Darum muss man ein neues machen, weil wenn man nur erneuert, dann wird nur dein Zert erneuert und die der CA bleiben. Beim neu erstellen (überschreiben) werden auch die CA Zerts erneuert.
 

ch-nas

Benutzer
Mitglied seit
01. Nov 2010
Beiträge
75
Punkte für Reaktionen
0
Punkte
6
Danke dir für die Info betreffend dem Update 4 zu DSM 622 24922. Ich habe eine DS2415+, bei mir gibt es das Update 4 noch gar nicht. Ich bin auf der letzten Version = Update 3...
Das ist hingegen spannend...
Gruss
Andreas
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
721
Punkte für Reaktionen
136
Punkte
69

ch-nas

Benutzer
Mitglied seit
01. Nov 2010
Beiträge
75
Punkte für Reaktionen
0
Punkte
6
Danke dir!
Bin grad dabei, dies manuell einzuspielen.
Ich hab das Upgrade 4 nicht gesehen und entsprechend ist mir nicht aufgefallen, dass die Jungs das mit dem Upgrade 3 verkackt haben...
Gruss, Andreas
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.187
Punkte für Reaktionen
874
Punkte
268
wobei ich sagen möchte der 'verkackte' Zert ist von der LE. Wer sich die Mühe macht und den Zert aufmacht und die Eigenschaften anschaut, oder es vielleicht in ein Betriebssystem oder Firefox oder sonst wo transferiert, wird sehen, dass der Zwischenzertifikat von LE selber zurückgezogen wurde und darum die Kette nicht funktioniert.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
@ottosykora - da redet man anscheinend gegen den Wind an. ;)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat