Auteur Topic: Root certificate expired - vernieuwen helpt niet!  (gelezen 919 keer)

Dit onderwerp bevat een als beste antwoord gemarkeerd bericht. Klik hier om er direct naartoe te gaan.

Offline barbet

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 4
Root certificate expired - vernieuwen helpt niet!
« Gepost op: 17 juni 2022, 02:46:00 »
Hi,

Als ik een nieuw certificaat aanvraag voor mijn NAS via dsm 7.1 dan krijg ik een nieuw certificaat, maar de root certificaat daarvan blijft hetzelfde, en die is verlopen! Ik heb een service die mijn nas aanroept is die is er strict op dat elk certificaat in de chain geldig is (en dus faalt die service).

Hoe kan ik een certificaat aanvragen met een nieuw geldig root certificaat? Het verlopen root certificaat is de DST Root CA X3. Ik heb terminal toegang en ben bekend in linux, maar wil niet teveel zelf klooien. Het zou gewoon via de interface moeten kunnen toch?

Grtz,

Bart

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: Root certificate expired - vernieuwen helpt niet!
« Reactie #1 Gepost op: 17 juni 2022, 10:15:44 »
De "DST Root CA X3" is een certificaat dat Let's Encrypt als root gebruikte en al ergens september vorig jaar vervallen is. Kort daarvoor is Let's Encrypt op een eigen root certificaat "ISRG Root X1" overgestapt. Link

Ik vind het een vreemd probleem dat iets nog steeds dat oude root certificaat gaat gebruiken. Weet je wel zeker dat het gebruikers certificaat vernieuwd wordt?
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline barbet

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 4
Re: Root certificate expired - vernieuwen helpt niet!
« Reactie #2 Gepost op: 17 juni 2022, 13:31:20 »
Inderdaad is het root certificaat verlopen. Bij vernieuwen en zelfs bij het aanmaken van een compleet nieuw certificaat blijft dsm gebruik maken van de verlopen certificaat. Zie bijlages.


Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7983
  • Berichten: 44.003
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Root certificate expired - vernieuwen helpt niet!
« Reactie #3 Gepost op: 17 juni 2022, 13:39:15 »
Zou verlopen of niet gebruikte certificaten gewoon verwijderen.
Zie DSM Help betreffende alles over certificaten..


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline barbet

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 4
Re: Root certificate expired - vernieuwen helpt niet!
« Reactie #4 Gepost op: 17 juni 2022, 13:42:04 »
Helpt niet, nieuwe certificaten blijven die verlopen certificaat in chain gebruiken. Lijkt erop dat meer mensen er tegenaan lopen: het oude certificaat is cross-signing het nieuwe root certificaat en blijft in de chain:
https://knowledge.broadcom.com/external/article/225163/lets-encrypt-issued-certificates-dst-r.html#:~:text=DST%20Root%20CA%20X3%20Expiration,constructed%20with%20the%20expired%20cert.


Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: Root certificate expired - vernieuwen helpt niet!
« Reactie #5 Gepost op: 17 juni 2022, 14:38:40 »
Zou verlopen of niet gebruikte certificaten gewoon verwijderen.


Dat is het probleem niet. Als er een nieuw gebruikerscertificaat gemaakt wordt, zou er helemaal niet meer met deze oude root ondertekend mogen worden. (Dit ondertekenen gebeurd bij Let's Encrypt en niet op de nas)

Het lijkt me dat er een verouderde Let's Encrypt api aangeroepen wordt, die nog met dit oude certificaat ondertekent. Allen gebruikt Synology al sinds DSM 6.2, inmiddels de nieuwere protocollen die de nieuwe root gebruiken. Het lijkt me een bug in DSM 7.1 als ze nog ergens zo'n oude api gebruiken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7983
  • Berichten: 44.003
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Root certificate expired - vernieuwen helpt niet!
« Reactie #6 Gepost op: 17 juni 2022, 14:43:12 »
Mogelijke bug? Dan zou ik een Ticket inleggen.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Gemarkeerd als beste antwoord door barbet Gepost op 17 juni 2022, 23:06:06

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: Root certificate expired - vernieuwen helpt niet!
« Reactie #7 Gepost op: 17 juni 2022, 16:18:06 »
Ik heb een service die mijn nas aanroept is die is er strict op dat elk certificaat in de chain geldig is (en dus faalt die service).

Heb je wel al de public key van de nieuw "ISRG Root X1" root op dat device staan?  Lang niet alle devices krijgen meer updates. Op mijn Android 7 telefoon moest ik die root ook zelf toevoegen omdat Samsung recente telefoons niet meer ondersteunt (Alleen nieuwe)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline barbet

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 4
Re: Root certificate expired - vernieuwen helpt niet!
« Reactie #8 Gepost op: 17 juni 2022, 23:05:44 »
@Briolet Dit was de oplossing! Dank je. Inderdaad in Os X waar die service draait stond nog het oude CA root certificate. Oplossing was simpel: verwijderen en nieuwe van de website downloaden. Issue is verholpen.


 

Inloggen als root DSM6.x

Gestart door RudyBoard Synology DSM 6.1

Reacties: 18
Gelezen: 10568
Laatste bericht 07 maart 2017, 18:59:29
door cyrus1977
Inloggen als root zodat ik bij de map /volume1/@appstore kan komen

Gestart door musicfreakBoard Synology DSM 5.1 en eerder

Reacties: 5
Gelezen: 6048
Laatste bericht 22 februari 2014, 17:00:31
door musicfreak
Kan geen root folder aabnaken in Sonarr, in Radarr wel

Gestart door PietJCDBoard Overige 3rd party packages

Reacties: 0
Gelezen: 1389
Laatste bericht 11 november 2022, 15:24:35
door PietJCD
WinSCP Root...

Gestart door RemcovfBoard VPN Server

Reacties: 13
Gelezen: 4871
Laatste bericht 04 februari 2018, 15:40:19
door Remcovf
Is het maken van een Root map mogelijk?

Gestart door VuurvreterBoard Synology DSM 6.1

Reacties: 9
Gelezen: 4437
Laatste bericht 28 november 2017, 21:08:51
door Vuurvreter