Hi Andreas,
On 26.10.21 13:33, Andreas Wass - Glas Gasperlmair wrote:
Am 26.10.2021 um 11:49 schrieb Florian Schaal:
Du kannst auch das abgelaufene Root-Zertifkat auf dem Server löschen. Das sollte reichen.
Auf meinem neuen Server dürfte es kein abgelaufenes Root-Zertifikat geben, da die neuen Zertifikate ja erst letzten Samstag erstellt wurden?
doch - gibt es, siehe meine Mail von gestern Abend. ;-)
Kurzform: Das im Zuge der Neuaustellung Deines Server-Certs in die chain/fullchain-Datei eingefügte Root-Cert wurde mit einem am 30.09.2021 ausgestellten und somit nun abgelaufenen Cert von 'DST Root CA X3'signiert. Siehe den Link zum LE-Dokument bzgl. Cross Signing.
Für (neuere) Clients, die den alternativen Zertifizierungspfad über das 'ISRG Root X1' vom Juni 2015 haben/kennen, ist das kein Problem. Für alle anderen, die dieses nicht haben, schon. Und für Letztere reicht halt auch das Löschen dieses Certs auf Deinem Server nicht wirklich.
Aber wie bereits geschrieben: Ich würde mich (vielleicht abgesehen Ausnahmefällen) nicht darum kümmern: Problem der Clients, fertig. ;-)
Viele Grüße Markus