Sophos SG UTM: Workaround für fehlschlagende Erneuerung von Let’s Encrypt-Zertifikaten

Hintergrund

Zum 30.09.2021 ist das Root-Zertifikat DST Root X3, das von Let’s Encrypt zum Signieren von Zertifikaten verwendet wurde ausgelaufen. Das neue Root-Zertifikat ISRG Root X1. Welches das DST Root CA X3 ersetzt, wird nun als Grundlage zur Signierung der Let’s Encrypt-Zertifikate benutzt. ISRG Root X1 kommt in zwei Ausführungen: Zum einen auf Grundlage von DST Root CA X3. Diese Ausführung wurde zur Übergangsphase genutzt. Zum anderen als eigenständiges Root-Zertifikat. Die Entfernung des DST Root CA X3 und die Einführung von ISRG Root X1 in der eigenständigen Ausführung wurde in der Sophos SG UTM per Pattern Update durchgeführt. Einige Benutzer berichten allerdings nach wie vor über Probleme bei der Beantragung und Erneuerung von Let’s Encrypt-Zertifikaten in der SG UTM. Die Problematik wird voraussichtlich mit dem Firmware-Update auf UTM 9.712 MR12 behoben werden. Als Zwischenlösung möchten wir Ihnen in diesem Artikel einen Workaround aufzeigen 

Problem und Ursache

Auch nach erfolgtem Pattern Update lassen sich Let’s Encrypt-Zertifikate nicht erstellen oder erneuern. Der Let’s Encrypt-Service der UTM prüft hier im Hintergrund gegen das ISRG Root X1 in der ersten Ausführung, welches nun nach der Übergangsphase nicht mehr gültig ist. Hierdurch schlagen Beantragung und Erneuerung fehl. 

Workaround

Prüfen Sie zuerst, ob Sie das Pattern-Update eingespielt haben, welches das ausgelaufene DST Root CA X3 entfernt und das korrekte ISRG Root X1 einspielt. Gehen Sie hierzu wie folgt vor:

Öffnen Sie den WebAdmin der UTM.

1. Navigieren Sie zu Web Protection -> Filteroptionen -> Reiter „HTTPS-CAs“
2. Prüfen Sie, dass folgende Einträge unter „Globale Verifizierungs-CAs“ enthalten sind:

Internet Security Research Group ISRG Root X1
Internet Security Research Group ISRG Root X2 

3. Sind die Einträge vorhanden, haben Sie das Pattern-Update bereits eingespielt.

4. Ist das Pattern-Update noch nicht eingespielt, navigieren Sie zu Verwaltung -> Up2Date -> Reiter „Übersicht“

5. Ihnen sollte unter „Patterns“ angeboten werden, jetzt zu aktualisieren. Es empfiehlt sich im Reiter „Konfiguration“  das „Intervall für Pattern-Download und -Installation“ nicht auf manuell zu setzen, sondern auf ein automatisches Zeitintervall, außer es gibt einen triftigen Grund, die Pattern-Updates nicht automatisch zu installieren

Nach der Prüfung auf das Pattern-Update muss nun geprüft werden, ob in der Zertifikatsverwaltung noch alte Root-Zertifikate von Let’s Encrypt verblieben sind. Gehen Sie dazu wie folgt vor: 

1. Navigieren Sie zu Webserver Protection -> Zertifikatsverwaltung -> Reiter „CA“
2. Entfernen Sie alle CA-Zertifikate deren Ablaufdatum überschritten wurde.
3. Prüfen Sie ob Zertifikate mit folgendem Fingerabdruck vorkommen und entfernen Sie diese:

93:3C:­6D:DE:­E9:5C:­9C:41:­A4:0F:­9F:50:­49:3D:­82:BE:­03:AD:­87:BF.

4. Prüfen Sie, ob sich ihre Let’s Encrypt-Zertifikat nun erneuern lassen.

Wichtiger Hinweis: Bei der Beantragung und Erneuerung der Zertifikate kann es derzeit noch dazu kommen, dass ein Zertifikat mit dem oben genannten Fingerabdruck erzeugt wird. Dieses muss erneut entfernt werden, um den Fehler weiter zu unterbinden. Prüfen Sie alle 3 Monate oder bei Auftreten von Fehlern, ob ein solches Zertifikat erzeugt wurde.

Als unser Kunde stehen wir Ihnen sehr gerne für Fragen rund um Sophos zur Verfügung. Da wir auf Sophos spezialisiert sind, können wir ggf. noch offene Rückfragen mit Sicherheit gut beantworten. Bitte zögern Sie nicht, uns zu kontaktieren (service@utm-shop.de - 0351-81077-50), wir freuen uns auf die weitere Zusammenarbeit mit Ihnen. Sollten Sie Hilfe benötigen, können Sie gern ein Ticket in unserem Support Portal https://support.utm-shop.de/ erstellen.