Probleme mit Root-Zertifikat von Let´s Encrypt (TLS-Handshakefehler. Ungültiges Serverzertifikat (Das Zertifikat ist abgelaufen)

  • Hallo,

    seit einigen Minuten blockiert mein TB Pro 9.4.4 beim Mailabruf mit der Fehlermeldung "TLS-Handshakefehler. Ungültiges Serverzertifikat (Das Zertifikat ist abgelaufen)". In dem parallel installierten Thunderbird klappt der Mailabruf weiterhin. Anscheinend ist ein Root-Zertifikat innerhalb der TB-Installation abgelaufen...

    >30.09.2021, 16:16:29: IMAP - Root: "Digital Signature Trust Co.", "DST Root CA X3" Gültig ab 30.09.2000 21:12:19 bis 30.09.2021 14:01:15. Das Zertifikat ist abgelaufen!

  • Ja, im Adressbuch sind Zertifikate für DST Root X3 und R3 abgelaufen.

    Ich benutze für die Zertifikate in The Bats Einstellungen → S/MIME und TLS… die Windows Crypto API. Da werden immer aktuelle von Windows Zertifikatspeicher benutzt.


    Hintergrundinfo des Wechsle der Zertifikate auf https://letsencrypt.org/de/certificates/.

    Wenn ihr die internen Root-Zertifikate von The Bat!s Adressbuch nehmt, müsst ihr die pem-Dateien für
    ISRG Root X1 https://letsencrypt.org/certs/isrgrootx1.pem
    und R3 https://letsencrypt.org/certs/lets-encrypt-r3.pem

    herunter laden

    Dann Adressbuch aufrufen und dort mit Ansicht → Zertifikatsdatenbanken anzeigen lassen

    Dann Trusted Root CA wählen, dort eine neue Adresse mit dem Name ISRG Root X1 erstellen, die ISRG-Root-X1-Datei importieren.
    Dann Intermediate CA wählen, dort eine neue Adresse mit dem Name R3 erstellen und die R3-Datei importieren
    Adressbuch schließen

    ↑↑↑ Ich hoffe das alles stimmt so bei euch.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    5 Mal editiert, zuletzt von GwenDragon (30. September 2021 um 18:02)

  • Das ISRG Root X1 habe ich ja, TB will aber unbedingt auch das daran anschließende Zertifikat DST Root CA X3. Wie bekomme ich das weg?

    >30.09.2021, 21:25:01: FETCH - Aussteller: "US", "Let's Encrypt", "R3". Gültig ab 04.09.2020 bis 15.09.2025 16:00:00.

    >30.09.2021, 21:25:01: FETCH - Aussteller: "US", "Internet Security Research Group", "ISRG Root X1". Gültig ab 20.01.2021 19:14:03 bis 30.09.2024 18:14:03. Der Aussteller dieser Zertifikatskette wurde nicht gefunden!

    >30.09.2021, 21:25:01: FETCH - Zertifikataussteller fehlt: "Digital Signature Trust Co.", "DST Root CA X3".

    !30.09.2021, 21:25:01: FETCH - TLS-Handshakefehler. Ungültiges Serverzertifikat (Der Aussteller dieser Zertifikatskette wurde nicht gefunden)

    30.09.2021, 21:25:03: FETCH - TLS-Handshake vollständig

  • Das ISRG Root X1 habe ich ja

    Du hast das zwar nicht abgelaufene, aber veraltete Zertifikat, denn deins ist bis zum 30.09.2024 gültig, während das aktualisierte bis zum 04.06.2035. laufen wird.

    Beim veralteten ISRG Root X1 Zertifikat ist nämlich als Aussteller DST Root CA X3 angegeben. Daher sucht es auch immer wieder nach diesem Wurzelzertifikat. Da es aber nicht mehr existiert, kommt die Fehlermeldung, dass der Aussteller nicht gefunden werden kann.

    Beim aktualisierten ISRG Root X1 Zertifikat ist allerdings ISRG Root X1 auch als Aussteller angegeben., so dass man nur dieses eine Zertifikat braucht. Das IdenTrust Commercial Root CA 1 Zertifikat ist also zumindest in diesem Fall entbehrlich, kann aber trotzdem nicht schaden. Sollte also in Trusted Root CA behalten werden, falls bereits importiert.

    Lade dir also das andere ISRG Root X1 Zertifikat von der o.g. Let's Encrypt Seite herunter. Dieses ist dort als "Self-signed" bezeichnet, während das veraltete als "Cross-signed". Wahrscheinlich werden sie es bald entfernen oder ersetzen.

  • ab und zu ein Update in Form z.B. einer aktualisierten RootCA.abd für alle TB!-Versionen zur Verfügung stellen

    Und wie erfährt The Bat! von diesem Update?

    Soll es nach Hause telefonieren? (Das will man nicht!)

    Oder lieber manuell, oder wie?

    Jörg Schiermeier
    Informatiker, Bielefeld

    The Bat! professional v9.x (32bit NAU) mit XMP-, Regula- und Shell-Plugin • wine v9.x • devuan linux (excalibur/ceres)

  • Ja, im Adressbuch sind Zertifikate für DST Root X3 und R3 abgelaufen.

    Ich benutze für die Zertifikate in The Bats Einstellungen → S/MIME und TLS… die Windows Crypto API. Da werden immer aktuelle von Windows Zertifikatspeicher benutzt.


    Hintergrundinfo des Wechsle der Zertifikate auf https://letsencrypt.org/de/certificates/.

    Wenn ihr die internen Root-Zertifikate von The Bat!s Adressbuch nehmt, müsst ihr die pem-Dateien für

    :

    Danke GewnDragon,

    ich hatte auch das Problem, beide Wege (Windows Zertifikatsspeicher als auch die importieren Zertifikate) haben bei mir funtkioniert :)

  • Wäre vielleicht besser, wenn Ritlabs die Wurzelzertifikate nicht in die EXE integrieren würde, sondern ab und zu ein Update in Form z.B. einer aktualisierten RootCA.abd für alle TB!-Versionen zur Verfügung stellen würde.

    Da schließe ich mich an, gute Idee.

  • Wäre vielleicht besser, wenn Ritlabs die Wurzelzertifikate nicht in die EXE integrieren würde, sondern ab und zu ein Update in Form z.B. einer aktualisierten RootCA.abd für alle TB!-Versionen zur Verfügung stellen würde.

    Deine Idee hat ja offensichtlich Anklang gefunden.

    Dann formuliere doch bitte auch einen Wunsch im Ritlabs Bugtracker!

    Jörg Schiermeier
    Informatiker, Bielefeld

    The Bat! professional v9.x (32bit NAU) mit XMP-, Regula- und Shell-Plugin • wine v9.x • devuan linux (excalibur/ceres)

  • Da ja The Bat! sowie einen Update-Check durchführt auf neue Versionen, könnte der Teil auch wenigstens melden, dass es neue Zertifikat gibt. Ob so allerdings dann schon vorhandene benutzerhinzugefügte und neue Zertifikate ins Adressbuch zusammengefügt werden, weiß ich nicht.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.