Ich hatte bei unseren Webseiten vor kurzem das Problem, dass trotz einem ordnungsgemäßen Aufruf der Seiten eine Fehlermeldung auf mobilen Endgeräten mit Android kam. Die Handys haben immer die Meldung geschmissen, dass das genutzte Zertifikat nicht gültig ist und man musste daher immer auf "Ja, ich bin mir absolut sicher, was ich hier tue" klicken, was nicht gerade toll ist und bei Endbenutzern vielleicht zu einer Unsicherheit führt.
Die tl:dr-Variante: Let's Encrypt nutzt ein Zwischenzertifikat, was im Webserver mit ausgeliefert werden muss, danach funktioniert auch der Aufruf auf Android-Geräten :)
Wenn wir uns in einem Browser auf meinem Notebook mal eine unserer Webseiten anschauen, sehen wir die folgenden Zertifikate:


Das markierte "X3"-Zertifikat ist das "Problem", dieses ist auf einem Android-Handy scheinbar nicht hinterlegt und führt zu einer Warnmeldung. Wir nutzen Apache auf unserem Webserver, um WordPress zu betreiben, die folgende Konfiguration sorgt dafür. dass auch die Android-Handys funktionieren:
(...)
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/<Domain>/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/<Domain>/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/<Domain>/chain.pem
Include /etc/letsencrypt/options-ssl-apache.conf
(...)
Was in unserer vorher genutzten Konfiguration fehlte, war die komplette Chain mit der dritten Zeile "SSLCertificateChainFile". Nach einem hinzufügen und einem
service apache2 reload
passt alles. Danke an Freddy für den Tipp :)
Hi, interessanter Artikel der genau zu dem Problem passt, welches ich auch gerade habe. Die Fehlermeldung tritt nur mobile auf der Unterschied zu deinem Artikel ist der, dass ich einen IIS 8.5 am laufen habe.
Wie würde da die Korrektur aussehen? Woher bekomme ich eigentlich die Chain.pem… Bei der Zertifikatausstellung bekomme ich genau drei Files: certificate.cer, cA_bundle.cer, private.key… Alle drei benutze ich um daraus ein IIS taugliches . PFX Zertifikat zu generieren und es in IIS zu Importieren.
Moin, ich habe die Kombination IIS (Exchange Server 2010) mit Ubuntu RProxy und Let’s Enrypt in Betrieb. Die Lösung hat funktioniert.
Danke
Hi,
noch etwas Recherche zeigt, dass man es heute anders macht:
http://www.bensprotips.com/2014/04/apache-sslcertificatechainfile-directive-deprecated-sslcertificatefile/
Also alles in eine Datei und SSLCertificateChainFile raus aus der Config.
LG
Micha