[Eisfair] Problem mit eigenem (LE oder ZeroSSL) Zertifikat

[Marcus Röckrath]

Hallo Uwe,

Marcus Röckrath wrote:

>> Warum klappt dass die Prüfung der Zertifikatskette mit dem certs-Paket
>> nicht ?
> 
> Vermutlich stolpert es über die Struktur der neuen Zertifikate mit Cross-
> Signing; das zugehörige Skript bemüht u. a. auch "openssl verify" und wird
> auch da ein OK registrieren, macht aber weitere Analysen, die
> gegebenenfalls die aktuelle Situation nicht exakt auswerten können.

Laut https://letsencrypt.org/certificates/

weisen neue LetsEncrypt-Zertifikate zwei unterschiedliche lange Chains auf, 
was durch das Cross-Signing des neuen Root-Zertifikates mit dem bisherigen 
Root-Zertifikat zustandekommt.

Chains:

    EE ← YR1 ← Root YR ← ISRG Root X1 (Default)
    EE ← YR1 ← Root YR

Hierbei tritt die Situation auf, dass in der Default-Chain an vorletzter 
Stelle das neue "Root YR" steht, welches ein selbstsigniertes Zertifikat 
ist, was für Root-Zertifikate völlig normal ist.

Die Verwirrung entsteht dadurch, dass dieses selbst signierte Zertifikat 
aber nun nicht am Ende sondern mitten in der Kette auftaucht.

Das Schaubild auf der genannten Seite zeigt die Zusammenhänge der 
Zertifikate.

PS: Auch die neue brandaktuelle Version von Firefox enthält das neue Root-
Zertifikat noch nicht, was eben das Cross-Signung nötig macht.

-- 
Gruß Marcus
[eisfair-Team]