LetsEncrypt Zertifikat revoked?

SuperMario · December 8, 2016 at 1:06 PM

Hallo zusammen,

ich habe seit 2 Tagen das Problem das ich via Chrome Browser nicht mehr auf mein Forum komme. Chrome meldet mir

Code

NET::ERR_CERT_REVOKED

im DevTool steht "This Page is insecure ( Broken HTTPS )

Derl SSL Checker von digicert sagt mir das geleiche, alle anderen mir bekannten Checker finden keine Fehler.

Ich habe nutze als SSL Cert das von Letsencrypt welches mir vom Hoster im CP bereitgestellt wird.

Hinweise I:

- Das Problem tritt nur an einen PC / User auf - gleicher PC anderer User + Chrome geht.

- Firefox geht es auf allen PCs NUR wenn die Option:

Code

Aktuelle Gültigkeit von Zertifikaten durch Anfrage bei OCSP-Server bestätigen lassen

deaktiviert wird.

- IE + Edge geht nix ( auch vorher schon nicht )

- Google + Firefox Mobile geht es ohne Fehler

Wenn ich das richtig verstanden habe, nutzt Chrome + IE + Egde den Windows Zertifikats Store und Firefox bringt seinen eigenen mit, erklaert auch warums unter FF geht ?

Hinweis II:

- Wie kann ich die Windows Zertifikate reparieren / updaten / neuinstallieren
- woher weiss ich welches Cert Lost oder beschädigt ist?
- Ich kann / moechte keinen weiteren Windows user erstellen, da es ein Firmen Pc ist.

Auch wenn es hier scheinbar sich um ein lokales Problem handelt, hoffe ich auf positive Rückmeldungen von euch

Vielen Dank!

**Tim Düsterhus** · December 8, 2016 at 1:54 PM Official Post

Hallo,

das Zertifikat ist definitiv rund 2 Stunden nach Erstellung revoked worden (aus welchem Grund auch immer), wende dich an deinen Webhoster.

Je nach Browsereinstellung prüft der Webbrowser nicht, ob ein Zertifikat zurück gezogen wurde. Das ist genau das, was du beim Firefox mit dem OCSP-Haken deaktivieren kannst.

Hier die OCSP-Daten:

Code

[timwolla@/t/crt [1]]openssl ocsp -issuer chain.pem -cert cert.pem -text -header "Host" "ocsp.int-x3.letsencrypt.org" -noverify -url http://ocsp.int-x3.letsencrypt.org
OCSP Request Data:
    Version: 1 (0x0)
    Requestor List:
        Certificate ID:
          Hash Algorithm: sha1
          Issuer Name Hash: 7EE66AE7729AB3FCF8A220646C16A12D6071085D
          Issuer Key Hash: A84A6A63047DDDBAE6D139B7A64565EFF3A8ECA1
          Serial Number: 030477319ED793D90E305C6817A83D21A085
    Request Extensions:
        OCSP Nonce: 
            0410056F9B08CD225C3F1145D7E41DD072E0
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
    Produced At: Dec  8 05:56:00 2016 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: 7EE66AE7729AB3FCF8A220646C16A12D6071085D
      Issuer Key Hash: A84A6A63047DDDBAE6D139B7A64565EFF3A8ECA1
      Serial Number: 030477319ED793D90E305C6817A83D21A085
    Cert Status: revoked
    Revocation Time: Nov 29 22:23:05 2016 GMT
    This Update: Dec  8 05:00:00 2016 GMT
    Next Update: Dec 15 05:00:00 2016 GMT







    Signature Algorithm: sha256WithRSAEncryption
         2f:a0:7b:6a:71:44:fe:93:db:ec:7a:86:aa:fd:75:2e:b0:54:
         a8:77:33:08:94:c2:b9:44:aa:21:97:94:06:c0:25:55:02:a5:
         03:d9:34:f1:bf:d1:03:27:05:d0:75:27:b5:ee:59:81:d1:6e:
         b1:de:7e:b8:6b:da:b5:ff:ce:87:5e:7f:d4:59:10:58:a0:79:
         0d:c5:0b:a7:02:2a:72:c3:cc:60:24:41:2b:63:71:3e:b3:6e:
         43:c3:98:ba:a2:61:3f:2b:70:30:54:34:53:10:0e:42:8d:70:
         5c:95:c4:2f:99:fb:73:96:32:f9:02:b1:75:41:f1:25:5b:16:
         8c:e1:0f:b5:b7:36:8e:90:59:f8:25:83:99:61:1b:c1:3e:9e:
         35:9e:e7:01:a2:fe:55:de:ae:e1:a3:95:f3:5c:97:2a:12:74:
         6d:81:d7:f5:5c:e0:3a:6f:fe:1a:e6:18:76:e2:fc:6b:be:03:
         eb:bf:5a:c5:c1:ec:b1:88:9a:18:92:ab:ad:28:6e:69:f4:28:
         82:21:3c:db:a6:dc:ea:cd:f9:e3:ad:b0:62:1e:be:a7:58:cd:
         4d:5e:18:a0:4a:47:3b:8e:f4:71:de:78:fb:93:1a:d4:34:12:
         86:90:b1:91:ad:c6:29:e3:9a:db:42:ca:01:86:6f:df:7d:94:
         bc:dd:16:e4
cert.pem: revoked
    This Update: Dec  8 05:00:00 2016 GMT
    Next Update: Dec 15 05:00:00 2016 GMT
    Revocation Time: Nov 29 22:23:05 2016 GMT

Display More

SuperMario · December 8, 2016 at 3:00 PM

Hallo @TimWolla

Danke.

Aber warum geht die Seite dann auf anderen PC / bei anderen Forenusern ? Und gleicher PC nur anderer User ging auch.

kannst du die Seite aufrufen?

Das wuerde auch erklaeren warun IE und Edge es nicht akzeptieren?

**Tim Düsterhus** · December 8, 2016 at 3:30 PM Official Post

Hallo,

Quote from DieArmeSau

Aber warum geht die Seite dann auf anderen PC / bei anderen Forenusern ? Und gleicher PC nur anderer User ging auch.

Weil:

Quote from TimWolla

Je nach Browsereinstellung prüft der Webbrowser nicht, ob ein Zertifikat zurück gezogen wurde. Das ist genau das, was du beim Firefox mit dem OCSP-Haken deaktivieren kannst.

Quote from DieArmeSau

kannst du die Seite aufrufen?

Nein, ich habe die OCSP-Prüfung in meinem Firefox aktiviert.

SuperMario · December 8, 2016 at 3:45 PM

Danke @TimWolla,

langsam kommt Licht ins Dunkle

Digicert checkt auch den Certstatus online und nicht aufn PC...

Ich melde mich beim Webhoster und gebe Bescheid

SuperMario · December 9, 2016 at 1:11 PM

SSL funktioniert nun, auch mit aktivierten OCSP im Firefox. Problem war ein Fehler im Lets Encrypt Plugin. @TimWolla

Participate now!