SSL_accept error from 213-225-38-118.nat.highway.a1.net[213.225.38.118]: -1 - Nachtrag

[Markus Winkler]

Hi Andreas,

On 26.10.21 13:33, Andreas Wass - Glas Gasperlmair wrote:
> Am 26.10.2021 um 11:49 schrieb Florian Schaal:
>> Du kannst auch das abgelaufene Root-Zertifkat auf dem Server löschen. Das 
>> sollte reichen.
> Auf meinem neuen Server dürfte es kein abgelaufenes Root-Zertifikat geben, 
> da die neuen Zertifikate ja erst letzten Samstag erstellt wurden?

doch - gibt es, siehe meine Mail von gestern Abend. ;-)

Kurzform: Das im Zuge der Neuaustellung Deines Server-Certs in die 
chain/fullchain-Datei eingefügte Root-Cert wurde mit einem am 30.09.2021 
ausgestellten und somit nun abgelaufenen Cert von 'DST Root CA X3'signiert. 
Siehe den Link zum LE-Dokument bzgl. Cross Signing.

Für (neuere) Clients, die den alternativen Zertifizierungspfad über das 
'ISRG Root X1' vom Juni 2015 haben/kennen, ist das kein Problem. Für alle 
anderen, die dieses nicht haben, schon. Und für Letztere reicht halt auch 
das Löschen dieses Certs auf Deinem Server nicht wirklich.

Aber wie bereits geschrieben: Ich würde mich (vielleicht abgesehen 
Ausnahmefällen) nicht darum kümmern: Problem der Clients, fertig. ;-)

Viele Grüße
Markus