DST Root CA X3 wird am 30. September ablaufen.

Zitat von ñull

Wie verhindern wir, dass es dabei zu Problemen kommt?

Nach unserem aktuellen Kenntnisstand gibt es keinen Handlungsbedarf.

Seit 04. Mai 2021 stellt Let's Encrypt die Zertifikate standardmäßig so aus, dass in der CA-Chain auch das Zwischenzertifikat "DST Root CA X3" enthalten ist (siehe Ankündigung). Man kann das z.B. mit unserem SSL-Check prüfen - etwa für demo.liveconfig.com.

Somit sollen auch ältere Android-Geräte keine Sicherheitswarnung anzeigen.

Es besteht also kein Grund, Zertifikate neu auszustellen.

Kann ich so bestätigen: in LiveConfig gibt's dahingehend keine Probleme, die letzten Renews haben allesamt das neue Root dabei.

Probleme gibt es nur, wenn das alte CA-Zertifikat gecached wird. Kann bei dehydrated/certbot passieren.

Es scheint mir als haette das LiveConfig-Backend ("SSL-Zertifikate") den abgelaufenen Teil der Kette zum Anlass genommen alle Letsencrypt-Zertifikate als "abgelaufen" zu markieren (Kalender-Icon neben dem Ablaufdatum). Zu Schaden hat dies bisher nicht gefuehrt. Ich konnte es aber auf mehreren Systemen mit unabhaengigen Alter verfolgen. Ist es richtig, dass LiveConfig seine eigene libssl mitbringt? Bedient sich LiveConfig aus dem allg. Truststore der Distribution? Gibt es einen Weg, wie ich das Flag wieder umwerfe oder LiveConfig zu einer erneuten Pruefung der Zertifikate auffordern kann? Wenn ich ein Zertifikat neu ausstellen lasse, dann verschwindet der Hinweis. Die Kette im Zertifikat sieht daraufhin aber unveraendert aus.

siehe https://www.liveconfig.com/de/…gezeigt?p=19244#post19244

Wir suchen nun nach der genauen Ursache, ich vermute dass LiveConfig noch das "alte" Intermediate-Zertifikat im Cache hat und dieser Pfad nun "expired" ist.