Ultraschall.fm läuft auf einen Zertifikatsfehler?

Hallo

gerade wollte ich auf Ultraschall.fm nach einer Lösung für mein Duckingproblem suchen und offensichtlich ist das Zertifikat abgelaufen.

Nö.
Eigentlich nicht.

image

Kann es sein, dass da was bei dir gecacht ist?

1 „Gefällt mir“

Wahrscheinlich kann dein Browser/Betriebssystem nicht mit dem Let’s encrypt Zertifikat umgehen, weil seit dem 30. September das DST Root CA X3 Zertifikat nicht mehr gültig ist, was zum crosssignen benutzt wurde: https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

Wow… äh ich fürchte ich verstehe nur Bahnhof… und wollte dennoch durch den Hinweis auf den Fehler nur helfen … :wink:

Wenn es an der Marcel genannten Ursache liegt, ist möglicherweise Dein Client veraltet. In diesem Falle wirst Du das Problem wahrscheinlich auch noch anderswo erleben.

Hier gibt es einen Bericht dazu, der ist allerdings auch relativ technisch.

Nein, die Clients sind nicht veraltet. Veraltet ist das Root-Zertifikat auf dem das Ultraschall-Zertifikat aufsetzt. Das Zertifikat muss neu aufgesetzt werden.

1 „Gefällt mir“

Ich finde es etwas schade, dass das Problem in Richtung der User geschoben wird, wenn es ganz klar ein Problem vom Server ist.

https://www.ssllabs.com/ssltest/analyze.html?d=ultraschall.fm

Es sollten drei Zertifikate ausgeliefert werden. Die ganze Trust-Chain fehlt.

Ich finde es etwas schade, dass einem Hobby-Projekt hier XY vorgeworfen wird anstatt eine konstruktive Lösung vorzuschlagen. Das Zertifikat ist auf dem Server selbst mit certbot gebaut, Standardverfahren certbot certonly --manual mit Challange auf acme-challenge Verzeichnis, läuft genauso so seit 3 Jahren ohne Probleme (alle 3 Monate neu).

Eben nochmal neu angestoßen und bei Hosteurope worüber die Domains verwaltet werden hochgeladen. Wird problemlos akzeptiert, scheint aber am Problem selbst nichts zu ändern.

Sachdienliche Hinweise, außer „gib halt 100 € aus für ein Offizielles“?

3 „Gefällt mir“

Wir hatten das Problem auf unserer Hardware auch. Ohne unterstellen zu wollen, dass ihr das nicht gemacht oder gefunden habt, sondern der Vollständigkeit wegen zwei Punkte, die bei uns geholfen haben:

Zunächst gibt certbot verschiedene Zertifikate aus. Man soll hier (inzwischen auch laut Doku die fullchain.pem benutzen. Da auf ultraschall.fm zumindest laut SslLabs die Kette zu fehlen scheint, kann es sein, dass ihr oder euer Hoster stattdessen die cert.pem benutzt?

Gerade bei schon länger existenten Zertifikaten muss man certbot mitunter zwingen, das neue X1-CA als primäre Root einzutragen. Dazu dem Aufruf --preferred-chain "ISRG Root X1" mit übergeben.

In der Praxis löst das die Probleme für die meisten Aufrufe, ein paar OpenSSL-Versionen können hier noch freidrehen, wenn die falschen Parameter beim Bauen übergeben wurden. Das Problem hatte bspw. Electron am Anfang des Monats. Da kann man wohl was machen, ich sehe in dem Fall aber klar den/die Entwickler in der Pflicht.

Falls das nicht hilft, schreib mich nochmal kurz an, dann kann man da nochmal gemeinsam drauf schauen und ein paar weitere Augen dazubringen.

P.S.: Dieses ganze Hin und Her, und dass certbot bis zuletzt zumindest bei mir keine sinnvollen Meldungen oder Empfehlungen ausgegeben hat, hat mich dazu gebracht wo Möglich zu dehydrated zu wechseln. Der macht weniger Magie und erleichtert das Domain-Management.

1 „Gefällt mir“

Ein Hobbyprojekt ist keine Entschuldigung für Unfreundlichkeit. Wir helfen hier (fast) alle hobbymäßig. Frag doch einfach. :slightly_smiling_face:

Die Zertifizierungsstelle R3 fehlt. Entweder muss diese mit ins cert oder dem Webserver die chain als extra Parameter geben. Was genau ihr nun machen könnt, ist ohne Wissen über den Server oder was ihr da macht sehr schwierig.

Edit: Was @pheerai geschrieben hat. :grinning_face_with_smiling_eyes:

:astonished:

That did the trick.
Bestens, vielen Dank!

2 „Gefällt mir“

Dann sage ich als Starter des Threads auch noch mal Dank an alle.

Ich verstehe selbst nur Bahnhof und will ganz sicher nicht irgendwem irgendwas vorwerfen. Sondern ich wollte auf ein Problem hinweisen, dass den sonst so professionellen Eindruck von Ultraschall.FM schmälern könnte.

Denn ich als einer Euer user finde Das tool, die Menschen und das Forum hier voll geil. (selbst wenn ich noch immer nicht verstehe wieso mein Ducking, duckt wann es will!)

Dafür vielen Dank.

armin

2 „Gefällt mir“