Hallo Walther,
On 26.10.21 10:46, Walter H. wrote:
schickt Dein Server außer dem SSL-Zertifikat und dem R3-Zwischenzertifikat, noch eines mit?
ja, er schickt neben dem Server- und dem R3-Intermediate- auch das Root-Cert mit. Ist bei den mir bekannten ACME-Clients so, dass die Letzteres in die chain bzw. fullchain-Files standardmäßig mit rein packen.
dann reduzier es auf diese beiden; das genügt;
Ja, das Root-Cert kann raus. Mache ich z. B. auch bei Webservern immer so - der Client kann und sollte das gegen die Root-Certs in seinem eigenen Cert-Store prüfen.
Allerdings würde das im vorliegenden Fall nicht helfen. Denn ein älterer Client hätte in seinem nicht mehr aktualisierten Cert-Store für die Prüfung des Issuers des R3-Intermediates dann auch nur das eben Ende September abgelaufene Root-Cert der 'DST Root CA X3' und (noch) nicht das Self-signed 'ISRG Root X1' vom Juni 2015.
Die Verantwortung für das Problem liegt m. E. klar beim Client, dort besteht Handlungsbedarf. Let's Encrypt hat übrigens eine kleine Übersicht zu problematischen Clients veröffentlicht:
https://letsencrypt.org/docs/certificate-compatibility/
@Markus: ist es logisch, dass auf dem Server Fehler im Log sind, wenn der Client ein 'Problem' mit der Validierung des SSL-Zertifikates bzw. der Zertifikatskette hätte?
Ob es logisch ist, kann ich nicht sagen. ;-) Es m. W. jedenfalls so, dass der SSL-Stack des Clients diese fehlgeschlagene Verifizierung des Server-Certs mit einem Alert signalisiert, und den sieht man dann im Log des Servers.
Viele Grüße Markus