Fehlermeldung bei Paket-Aktualisierung

  • Affected Version
    WoltLab Suite 5.3

    Hilfeeeeee.


    Ich wollte heute paar Updates machen. Egal ob einzeln oder alle zusammen, kommen diese Fehlermeldungen.

    Was kann ich dagegen machen ?

  • Mag es daran liegen, dass möglicherweise am gestrigen Tag (Monats- und Quartalsende) ein SSL-Zertifikat abgelaufen ist?





    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier.

  • Sieht jedenfalls sehr danach aus.

  • Sollte noch bis zum 26.12 gültig sein.

    Es geht nicht um deins, sondern um das CA, was zwischen Root CA und dem LE CA von dem Woltlab Update-Server liegt.

    Das ist Cross-Signiert und dein PHP auf deinem Webspace nimmt die veraltete CA.

    • Official Post

    Hallo,


    ich zitiere mich mal selbst aus einem Ticket:




    hier muss ich ein wenig ausholen. Fragen Sie gerne noch einmal nach, wenn meine Erklärung in Teilen unklar ist.


    Wir verwenden für unsere Webseite, wie auch Sie für Ihr eigenes Forum, die Zertifizierungsstelle Lets Encrypt.


    Lets Encrypt ist eine recht junge Zertifizierungsstelle und hat zu Anfang das Vertrauen von der etablierten Zertifizierungstelle IdenTrust ausgesprochen bekommen, bis das hauseigene Wurzelzertifikat (ISRG Root X1) in allen Betriebssystemen und Browsern (z.B. Windows, Android, macOS, Firefox und natürlich auch Linux-Servern) aufgenommen wurde.


    Dieses „Vertrauen“ wurde von IdenTrust durch deren Wurzelzertifikat IdenTrust DST Root CA X3 ausgesprochen. Das Zertifikat ist sehr alt und in jedem Betriebssystem vorhanden. Leider ist das Zertifikat am gestrigen 30. September abgelaufen, wodurch auch dieses Vertrauen durch IdenTrust ungültig wurde.


    Lets Encrypt hat die Zertifikate im Laufe des Jahres bereits so angepasst, dass diese sowohl mit dem hauseigenen Wurzelzertifikat ISRG Root X1, als auch mit dem älteren IdenTrust DST Root CA X3 kompatibel sind. Damit das über den 30. September hinaus aber korrekt klappt, müssen zwei Dinge erfüllt sein:

    1. Das ISRG Root X1 muss im Betriebssystem hinterlegt sein. Für den Firefox ist das beispielsweise im August 2016 erschienen.
    2. Die OpenSSL-Bibliothek muss neuer als Version 1.0.2 sein (mindestens 1.1.0), damit diese das ISRG Root X1 korrekt erkennt. OpenSSL 1.1.0 ist 2016 erschienen.
      • Alternativ muss das IdenTrust DST Root CA X3 nach Ablauf vollständig aus dem Betriebssystem entfernt werden.

    Offenbar ist einer der beiden Punkte bei Ihrem Webhoster nicht der Fall. Das deutet darauf hin, dass der Webhoster weder die Zertifikatslisten, noch die OpenSSL-Bibliothek seit 2016 auf eine aktuelle Version aktualisiert hat.


    Entsprechend ist es hier die Aufgabe des Webhosters tätig zu werden. Durch den Ablauf des IdenTrust DST Root CA X3 können vermutlich über 250 Millionen Internetseiten durch den Server nicht mehr erreicht werden, da das Zertifikat als ungültig angesehen wird. In unserem Fall betrifft das auch die Paketserver zur Aktualisierung von WoltLab Suite, sodass Sie möglicherweise auch keine Updates unserer Software mehr einspielen können. Wir werden prüfen, ob wir für die Paketserver ein alternatives Zertifikat hinterlegen können, nichtsdestotrotz sollte Ihr Webhoster unverzüglich tätig werden und die eingesetzte Software aktualisieren.


    Meine Erklärung ist in einigen Punkten etwas vereinfacht. Die vollständigen technischen Details zu dem Problem gibt es in diesem englischen Blog-Artikel: https://scotthelme.co.uk/lets-encrypt-old-root-expiration/