In der heutigen Zeit ist es wichtiger denn je, dass Websites sicher sind und die Kommunikation zwischen einem Webserver und einem Browser verschlüsselt wird. Eine Möglichkeit, dies zu erreichen, ist die Verwendung von SSL/TLS-Zertifikaten, die von einer Zertifizierungsstelle wie Let’s Encrypt ausgestellt werden. In diesem Artikel werden wir uns ansehen, wie man ein Problem mit der Zertifikatskette von Let’s Encrypt lösen kann.

Ein Problem, das Benutzer von Let’s Encrypt-Zertifikaten möglicherweise bemerkt haben, ist, dass SSL-Zertifikat-Checker wie der von SSL Labs Warnungen ausgeben, dass Teile des Let’s Encrypt-Zertifikats ungültig sind. Dies liegt daran, dass das Stammzertifikat, das von Let’s Encrypt verwendet wurde, abgelaufen ist.

Um dieses Problem zu lösen, hat Let’s Encrypt eine neue Zertifikatskette eingeführt, die auf einem anderen Stammzertifikat basiert, dem “ISRG Root X1” Zertifikat. Benutzer können Certbot so konfigurieren, dass es diese neue Zertifikatskette verwendet, indem sie den Befehl sudo certbot --preferred-chain "ISRG Root X1" ausführen. Auf diese Weise können sie sicherstellen, dass ihre Websites weiterhin von älteren Geräten und Betriebssystemen akzeptiert werden.

Dieser Befehl funktioniert so nur auf Linux Systemen. Bei Windows Servern ist der Befehl ein anderer, da ich diese nicht nutze kann ich aktuell nicht sagen wie dieser dort lautet.

Was ist das "ISRG Root X1" Zertifikat?

Das “ISRG Root X1” Zertifikat ist ein Stammzertifikat, das von der Internet Security Research Group (ISRG) ausgestellt wurde. Es wird von Let’s Encrypt verwendet, einer Zertifizierungsstelle, die kostenlose SSL/TLS-Zertifikate ausstellt. Diese Zertifikate werden verwendet, um die Kommunikation zwischen einem Webserver und einem Browser zu verschlüsseln.

Quelle: Medium