DSM 6.x und darunter Nach Certificate Renewal (Lets Encypt) zeigt Browser Certificate Revoked

[jus7incase]

Ich habe eine DS als Server für diverse sync services und als Web Server für den WAN-Zugriffe freigeschaltet.
Die services waren über Dynamic DNS adressierbar und für jede DDNS Domain hatte das DSM ein Lets Encrypt Zertifikat.
Die Zertifikate sind abgelaufen und entsprechend haben dies die verschiedenen Clients gemeldet.

Unter Control Panel > Security > Certificate habe ich die "Renew Certifikate" für die abgelaufenen Zertifikate angestoßen. Die Zertifikate wurden bis zum 19. Jan 2020 verlängert, das sind gerade mal 3 Monate. Das ist ärgerlich aber nicht das Problem.

Das Problem:
Die Clients melden weiterhin ungültige Zertifikate und wenn ich mit Firefox die Webseite aufrufen will (HTTPS, 443) sagt er mir Cerificate Revoked.

Was ist hier los, und wie komme ich wieder in einen Zustand, dass die Zertifikate gültig sind?

Vielen Dank für eure Zeit!

 

[stulpinger]

Das Zertifikat neu ausstellen und nicht erneuern !

 

[PhilAd]

Hallo zusammen,

ich habe das selbe Problem. Nachdem ich unter Einstellungen -> Sicherheit -> Zertifikat die Funktion 'Zertifikat erneuern' ausgeführt habe, wurden verständlicherweise die laufenden Zertifikate von der CA revoked und neue ausgestellt, die mir auch mit neuem Ablaufdatum (in 3 Monaten) im DSM angezeigt werden. Rufe ich nun eine verschlüsselte Webseite auf oder hole verschlüsselt meine E-Mails ab, wird allerdings serverseitig das alte und damit zurückgezogene Zertifikat zur Verifizierung angezeigt, was der Browser natürlich ablehnt (Ich habe das ungültige Zertifikat manuell angenommen, damit ich überhaupt irgendwas machen kann).
Ich hatte vermutet, dass mir ein Neustart helfen würde die neuen Zertifikate in den Webserver/Mailserver, etc. zu bekommen, aber es hat nicht geholfen.

Wie bekomme ich das NAS nun dazu die alten Zertifikate durch die neuen zu ersetzen, die ja anscheinend im DSM vorhanden sind?! In der Vergangenheit hat das immer funktioniert?! Gibt es aktuell einen Bug und eine Möglichkeit es manuell zu machen? Wie genau ist das mit neu ausstellen gemeint? Löschen und neu beantragen?

 

[Fusion]

Ja, löschen und neu ausstellen lassen.

Alte Zertifikate laufen aus und werden nicht "revoked". Dafür gibt es ja das Ablaufdatum.

Das Problem ist hier vermutlich dass ein Intermediate oder root-CA oder cross-signed-root-CA etc. abgelaufen oder zurück gezogen wurde.
Da geht es nicht um deine lokalen Zertifikate.
Erst bei einer Neuausstellung (nicht Erneuerung) wird ein eventuell geänderter root-CA Kontext berücksichtigt.

 

[PhilAd]

Hi Fusion,

vielen Dank für die erklärenden Antwort. Damit sollte dies eher ein Ausnahmefall sein und nicht die Regel. Ich habe die Zertifikate gelöscht und neue ausstellen lassen und jetzt funktioniert das Ganze auch wieder.

Viele Grüße

 

[jus7incase]

Bei mir hat das Löschen und Neu Austellen bei allen bis auf die Haupt-Domain funktioniert.
Bei der Haupt-Domain funktioniert das löschen nicht "operation failed".
Und plötzlich nach etwas warten verschwindet dann das Zertifikat.

Dumm ist nur dass ich vorher ein paar mal Replace versuchte hatte (was nicht ging) und dann Lets Encrypt sagte, dass meine Anzahl erlaubter Zertifikate für diese Domain aufgebraucht ist. Da Lets Encrypt die PublicSuffix Liste verwendet, sollte es kein Problem sein, dass es sich um eine subdomain zu einer Dynamic DNS domain handelt (denn diese ist in der Liste als Public Suffix eingetragen).

Mir ist nicht klar, genau welches Rate Limit ich gerissen habe (https://letsencrypt.org/docs/rate-limits/), denn die Anzahl der Versuche war heute kleiner als 5!

Bleibt das permanent so, oder kann man nach einer bestimmte Zeit wieder Zertifikate erstellen? Hat jemand eine Ahnung, welches Rate Limit hier zugeschlagen hat?

 

[Fusion]

Ohne genaue Angaben was wo wie viele... Kann dir keiner genau sagen welches Limit gerissen wurde, nur fag es nach Stunden bis Tagen / Woche wieder aufgehoben wird.

 

[jus7incase]

hatte ich geschrieben. weniger als 5 mal Zertifikat angefragt für DDNS dubdomain (mydomain.ddns.net).

 

[Fusion]

Du hattest was von Hauptdomain etc erzählt.
Dass sich die Angabe 5 nur auf ein Zertifikat mit EINER Domain sub.ddns.net bezieht war für mich nicht eindeutig.
Wo das genaue Limit (ich nehme mal an es ist einfach ein hohes gesetzt und nicht komplett unbeschränkt) für white-list Domains liegt weiß ich nicht. Einfach am nächsten Tag wieder probieren.

 

[jus7incase]

Hab ich gemacht, leider noch geblockt. Manche Apple tools (iOS Mail, macOS iCal) sind sehr nervig wenn das Zertifikat fehlt... hoffentlich klappts bald.

 

[Miba]

Auch eines meiner Zertifikate ist zurückgezogen worden. Nur habe ich jetzt Probleme ein neues zu bekommen. In /var/log/messages steht immer die Fehlermeldung "The key authorization file from the server did not match this challenge". Ein renew eines anderen Zertifikates hat einwandfrei funktioniert. An Port 80 kann es also nicht liegen. Was könnte es noch sein?

 

[ch-nas]

Danke für den Tipp.
Ich könnte schwören, in der Vergangenheit hat es mit "erneuern" geklappt.
Ich habe jetzt auch wieder erneuert. Ich erhielt aber in allen Browsern den Fehler, dass das Zertifikat ungültig (abgelaufen) ist, obschon das erneuerte installiert war. Auch das Löschen des Cache hat nicht geholfen.
Ich hab dann ein neues Zertifikat erstellt und siehe da, es geht wieder.
Mir zwar schleierhaft, ich hab seit Monaten jeweils erneuert...

Gruss,
Andreas

 

[stulpinger]

Version: 6.2.2-24922-4

2. Fixed the issue where the certificate might not work properly when the renewal has failed.
3. Fixed the issue where manually renewed certificates may not be applied to certain services.

 

[ottosykora]

Ich könnte schwören, in der Vergangenheit hat es mit "erneuern" geklappt.

das ist richtig, aber nun wurde eines der LE Zwischenzertifikate revoked. Darum muss man ein neues machen, weil wenn man nur erneuert, dann wird nur dein Zert erneuert und die der CA bleiben. Beim neu erstellen (überschreiben) werden auch die CA Zerts erneuert.

 

[ch-nas]

Danke dir für die Info betreffend dem Update 4 zu DSM 622 24922. Ich habe eine DS2415+, bei mir gibt es das Update 4 noch gar nicht. Ich bin auf der letzten Version = Update 3...
Das ist hingegen spannend...
Gruss
Andreas

 

[stulpinger]

@ch-nas

https://archive.synology.com/download/DSM/criticalupdate/update_pack/24922-4/

dort findest Du die pat-Datei für die 2415+
runterladen und manuell installieren

 

[ch-nas]

Danke dir!
Bin grad dabei, dies manuell einzuspielen.
Ich hab das Upgrade 4 nicht gesehen und entsprechend ist mir nicht aufgefallen, dass die Jungs das mit dem Upgrade 3 verkackt haben...
Gruss, Andreas

 

[ottosykora]

wobei ich sagen möchte der 'verkackte' Zert ist von der LE. Wer sich die Mühe macht und den Zert aufmacht und die Eigenschaften anschaut, oder es vielleicht in ein Betriebssystem oder Firefox oder sonst wo transferiert, wird sehen, dass der Zwischenzertifikat von LE selber zurückgezogen wurde und darum die Kette nicht funktioniert.

 

[Fusion]

@ottosykora - da redet man anscheinend gegen den Wind an.