SSL_accept error from 213-225-38-118.nat.highway.a1.net[213.225.38.118]: -1 - Nachtrag

[Markus Winkler]

Hallo Walther,

On 26.10.21 10:46, Walter H. wrote:
> schickt Dein Server außer dem SSL-Zertifikat und dem R3-Zwischenzertifikat, 
> noch eines mit?

ja, er schickt neben dem Server- und dem R3-Intermediate- auch das 
Root-Cert mit. Ist bei den mir bekannten ACME-Clients so, dass die 
Letzteres in die chain bzw. fullchain-Files standardmäßig mit rein packen.

> dann reduzier es auf diese beiden; das genügt;

Ja, das Root-Cert kann raus. Mache ich z. B. auch bei Webservern immer so - 
der Client kann und sollte das gegen die Root-Certs in seinem eigenen 
Cert-Store prüfen.

Allerdings würde das im vorliegenden Fall nicht helfen. Denn ein älterer 
Client hätte in seinem nicht mehr aktualisierten Cert-Store für die Prüfung 
des Issuers des R3-Intermediates dann auch nur das eben Ende September 
abgelaufene Root-Cert der 'DST Root CA X3' und (noch) nicht das Self-signed 
'ISRG Root X1' vom Juni 2015.

Die Verantwortung für das Problem liegt m. E. klar beim Client, dort 
besteht Handlungsbedarf. Let's Encrypt hat übrigens eine kleine Übersicht 
zu problematischen Clients veröffentlicht:

https://letsencrypt.org/docs/certificate-compatibility/

> @Markus:  ist es logisch, dass auf dem Server Fehler im Log sind, wenn der 
> Client ein 'Problem'
> mit der Validierung des SSL-Zertifikates bzw. der Zertifikatskette hätte?

Ob es logisch ist, kann ich nicht sagen. ;-) Es m. W. jedenfalls so, dass 
der SSL-Stack des Clients diese fehlgeschlagene Verifizierung des 
Server-Certs mit einem Alert signalisiert, und den sieht man dann im Log 
des Servers.

Viele Grüße
Markus