[Eisfair] Problem mit eigenem (LE oder ZeroSSL) Zertifikat

[Juergen Edner]

Hallo Marcus,

> Ist es aber nicht doch eher sinnvoll, dass die Zertifikatsdatei/das
> Zertifikat des eigenen Servers bis auf das Root alle Zwischenzertifikate
> enthält?
> 
> Wie soll ein Client die Chain eines übermittelten Serverzertifikates prüfen,
> wenn es nur das Endzertifikat enthält?

dies ist der Fall, nicht desto trotz werden die Zwischenzertifikate auch 
in separaten Dateien benötigt um die Zertifikatskette prüfen zu können.

> Wobei Hashes auf Ednzertifikaten eigentlich unnötig sind, da die Hashes nur
> dazu gebraucht werden, die Zwischenzertifikate bis hin zum Root-Zertifikat
> zu identifizieren; ein echtes Endzertifikat kann niemals innerhalb einer
> Chain vorkommen.

Dies ist korrekt.

> IMHO hat LetsEncrypt doch immer schon Zertifikate verteilt, die auch die
> Zwischenzertifikate enthalten.

Dies ist korrekt.

> Aktuell betsht das Problem eher darin, dass ein LetEncrypt-Zertifikat wegen
> des CrossSignings zwei Chains hat, wobei in der einen ein selbstsigniertes
> Zwischenzertifikat vorkommt, nämlich das neue "Root YR".
Dieses Problem existiert meines Erachtens derzeit nicht mehr - zumindest 
kann ich dies auf meinem Server aktuell nicht mehr beobachten.

Gruß Jürgen

-- 
Mail: juergen at eisfair.org