[Eisfair] Problem mit eigenem (LE oder ZeroSSL) Zertifikat

Marcus Röckrath marcus.roeckrath at gmx.de
Mi Jun 17 16:58:57 CEST 2026 

Hallo Jürgen,

Juergen Edner wrote:

>> Wenn ein Zertifikat über cert-request-cert installiert wird, werden aber
>> doch die enthaltenen Zertifikate korrekt aufgeteilt, oder?
> 
> korrekt.
> 
>> Gleichermaßen doch auch, wenn das LetsEncrypt-Zertifikat über das
>> dehydrated-Paket abgerufen wird.
> 
> Wenn dies so wäre, hätte es keinen Fehler gegeben. Bis zu dem Moment als
> Let's Encrypt scheinbar erstmalig mehrere Zertifikate in eine Datei
> gepackt hat gab es auch kein Probleme.

Ist es aber nicht doch eher sinnvoll, dass die Zertifikatsdatei/das 
Zertifikat des eigenen Servers bis auf das Root alle Zwischenzertifikate 
enthält?

Wie soll ein Client die Chain eines übermittelten Serverzertifikates prüfen, 
wenn es nur das Endzertifikat enthält?

Die Zwischenzertifkate werden von keinem BS in irgendeiner Form vorgehalten 
und müssten vom Anwender auf dem Client-PC manuell installiert werden.

Dass wäre nicht nur sehr aufwändig, sondern auch für 99,999999999% der 
Anwender eine echte Überforderung.

Wenn ich gmx.de per TLS connecte, schickt der auch eine Zertifkatsdatei 
inklusive eventueller Zwischenzertifikate.

Wenn man das Zertifkat von mail.gmx.net lokal zur Prüfung in fetchmail 
speichert, reicht zur Verifizierung naürlich nur der Endzertifikatsteil 
daraus und auch nur eine singuläres Zertifikat lässt sich hashen.

Wobei Hashes auf Ednzertifikaten eigentlich unnötig sind, da die Hashes nur 
dazu gebraucht werden, die Zwischenzertifikate bis hin zum Root-Zertifikat 
zu identifizieren; ein echtes Endzertifikat kann niemals innerhalb einer 
Chain vorkommen.

> Die fehlerhaften Zertifikatsdateien fanden sich auch auf meinem Server.
> Ich kann Dir aber nicht sagen wie sie dort hingelangt sind. Nachdem ich
> meine eigenen Zertifikate aktualisiert habe, wurde auch separate Let's
> Encrypt Zertifikatsdateien angelegt.

IMHO hat LetsEncrypt doch immer schon Zertifikate verteilt, die auch die 
Zwischenzertifikate enthalten.

Aktuell betsht das Problem eher darin, dass ein LetEncrypt-Zertifikat wegen 
des CrossSignings zwei Chains hat, wobei in der einen ein selbstsigniertes 
Zwischenzertifikat vorkommt, nämlich das neue "Root YR".

Chains:

    EE ← YR1 ← Root YR ← ISRG Root X1 (Default)
    EE ← YR1 ← Root YR

-- 
Gruß Marcus
[eisfair-Team]

Mehr Informationen über die Mailingliste Eisfair