[Eisfair] Lets Encrypt CAs

[Marcus Röckrath]

Hallo Stefan,

Stefan Heidrich wrote:

> Jeden Sonntag wir dabei auf das 
> Let's Encrypt Zertifikat upgedatet und jeden Sonntag stimmt daraufhin
> die Zertifikatskette nicht mehr.
> 
> Das bedeutet: Händisches löschen des nicht passenden isrg_root_x1.pem
> und dann händisches updaten von base_certificates.

Das base-certificates-Update reicht, aber es gibt mit dem neuesten
certs-Paket eine besssere Lösung.

> Bin ich eigentlich der einzige, bei dem das so ist? Und kann man/ich das
> nicht irgendwie umgehen?

Nein, das ist von letsencrypt verursacht.

letsencrypt erzeugt Zertifikate, die auch die Zwischenzertifikate enthält
und hier liegt das Problem, denn es gibt zwei verschiedene Chains: in der
einen ist das abgelaufene DST Root X3, in der neueren das ISRG Root X1 das
Ende der Kette:

alt: letsencrypt-Zertifikat <- R3 <- ISRG Root X1 (alt) <- DST Root X3
neu: letsencrypt-Zertifikat <- R3 <- ISRG Root X1 (neu)

Um alten Androiden noch die Prüfung zu ermöglichen, wird weiterhin die alte
Kette verteilt, aus meiner Sicht eine unsägliche Krücke, um alte
sicherheitskritische Systeme am Leben zu halten.

Das Problem besteht nun darin, dass die "Installation" von Zertifikaten
mittels der Skripte aus dem certs-Paket sinnvollerweise auch die
enthaltenen Zwischenzertifikate installiert, was in Fall von
letsencrypt-Zertifikaten auch das neuere ISRG Root X1 dann wieder mit der
älteren Version überschreibt.

Jürgen hat eine Ignore-List im certs-Paket eingeführt, die bei mir so
aussieht:

eis # cat /var/certs/ssl/certs-request-ignore-list
# certificate request ignore list file used by the
# /var/install/bin/certs-request-cert script.
# enter the CN name/hash of a cert file (one per line)
r3
isrg_root_x1
isrg_root_x2

Mit diesen Eintragungen sind die Zertifikate des base-certificate-Paketes
nun vor Änderungen geschützt.

-- 
Gruß Marcus
[eisfair-Team]