Auteur Topic: Root certificate expired - vernieuwen helpt niet!  (gelezen 379 keer)

Dit onderwerp bevat een als beste antwoord gemarkeerd bericht. Klik hier om er direct naartoe te gaan.

Offline barbet

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 4
Root certificate expired - vernieuwen helpt niet!
« Gepost op: 17 juni 2022, 02:46:00 »
Hi,

Als ik een nieuw certificaat aanvraag voor mijn NAS via dsm 7.1 dan krijg ik een nieuw certificaat, maar de root certificaat daarvan blijft hetzelfde, en die is verlopen! Ik heb een service die mijn nas aanroept is die is er strict op dat elk certificaat in de chain geldig is (en dus faalt die service).

Hoe kan ik een certificaat aanvragen met een nieuw geldig root certificaat? Het verlopen root certificaat is de DST Root CA X3. Ik heb terminal toegang en ben bekend in linux, maar wil niet teveel zelf klooien. Het zou gewoon via de interface moeten kunnen toch?

Grtz,

Bart

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 163
  • -Ontvangen: 2397
  • Berichten: 15.347
Re: Root certificate expired - vernieuwen helpt niet!
« Reactie #1 Gepost op: 17 juni 2022, 10:15:44 »
De "DST Root CA X3" is een certificaat dat Let's Encrypt als root gebruikte en al ergens september vorig jaar vervallen is. Kort daarvoor is Let's Encrypt op een eigen root certificaat "ISRG Root X1" overgestapt. Link

Ik vind het een vreemd probleem dat iets nog steeds dat oude root certificaat gaat gebruiken. Weet je wel zeker dat het gebruikers certificaat vernieuwd wordt?
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline barbet

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 4
Re: Root certificate expired - vernieuwen helpt niet!
« Reactie #2 Gepost op: 17 juni 2022, 13:31:20 »
Inderdaad is het root certificaat verlopen. Bij vernieuwen en zelfs bij het aanmaken van een compleet nieuw certificaat blijft dsm gebruik maken van de verlopen certificaat. Zie bijlages.


Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1183
  • -Ontvangen: 6984
  • Berichten: 40.150
  • Synology is awesome.
    • RAID = BACKUP?
Re: Root certificate expired - vernieuwen helpt niet!
« Reactie #3 Gepost op: 17 juni 2022, 13:39:15 »
Zou verlopen of niet gebruikte certificaten gewoon verwijderen.
Zie DSM Help betreffende alles over certificaten..


CS406     DSM 2.0-0731
DS107+    DSM 3.1-1639
DS107+    DSM 3.1-1639
DS508     DSM 4.0-2265
DS111     DSM 5.2-5967-9
DS411slim DSM 6.2.4-25556
DS411+II  DSM 6.2.4-25556-6
DS413J    DSM 6.2.3-25426-2
DS213J    DSM 6.2.3-25426-2
DS115J    DSM 7.1-42661-4
DS1515+   DSM 6.2.4-25556-6
DS716+II  DSM 6.2.4-25556-6
-----VMM  DSM 7.0.1-42218-5
DS918+    DSM 6.2.4-25556-6
DS220+    DSM 7.1.1-42951-RC
-----VMM  DSM 6.2.4-25556-6
RT2600ac  SRM 1.2.5-8227-5
MR2200ac  SRM 1.2.5-8227-5

Offline barbet

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 4
Re: Root certificate expired - vernieuwen helpt niet!
« Reactie #4 Gepost op: 17 juni 2022, 13:42:04 »
Helpt niet, nieuwe certificaten blijven die verlopen certificaat in chain gebruiken. Lijkt erop dat meer mensen er tegenaan lopen: het oude certificaat is cross-signing het nieuwe root certificaat en blijft in de chain:
https://knowledge.broadcom.com/external/article/225163/lets-encrypt-issued-certificates-dst-r.html#:~:text=DST%20Root%20CA%20X3%20Expiration,constructed%20with%20the%20expired%20cert.


Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 163
  • -Ontvangen: 2397
  • Berichten: 15.347
Re: Root certificate expired - vernieuwen helpt niet!
« Reactie #5 Gepost op: 17 juni 2022, 14:38:40 »
Zou verlopen of niet gebruikte certificaten gewoon verwijderen.


Dat is het probleem niet. Als er een nieuw gebruikerscertificaat gemaakt wordt, zou er helemaal niet meer met deze oude root ondertekend mogen worden. (Dit ondertekenen gebeurd bij Let's Encrypt en niet op de nas)

Het lijkt me dat er een verouderde Let's Encrypt api aangeroepen wordt, die nog met dit oude certificaat ondertekent. Allen gebruikt Synology al sinds DSM 6.2, inmiddels de nieuwere protocollen die de nieuwe root gebruiken. Het lijkt me een bug in DSM 7.1 als ze nog ergens zo'n oude api gebruiken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1183
  • -Ontvangen: 6984
  • Berichten: 40.150
  • Synology is awesome.
    • RAID = BACKUP?
Re: Root certificate expired - vernieuwen helpt niet!
« Reactie #6 Gepost op: 17 juni 2022, 14:43:12 »
Mogelijke bug? Dan zou ik een Ticket inleggen.


CS406     DSM 2.0-0731
DS107+    DSM 3.1-1639
DS107+    DSM 3.1-1639
DS508     DSM 4.0-2265
DS111     DSM 5.2-5967-9
DS411slim DSM 6.2.4-25556
DS411+II  DSM 6.2.4-25556-6
DS413J    DSM 6.2.3-25426-2
DS213J    DSM 6.2.3-25426-2
DS115J    DSM 7.1-42661-4
DS1515+   DSM 6.2.4-25556-6
DS716+II  DSM 6.2.4-25556-6
-----VMM  DSM 7.0.1-42218-5
DS918+    DSM 6.2.4-25556-6
DS220+    DSM 7.1.1-42951-RC
-----VMM  DSM 6.2.4-25556-6
RT2600ac  SRM 1.2.5-8227-5
MR2200ac  SRM 1.2.5-8227-5

Gemarkeerd als beste antwoord door barbet Gepost op 17 juni 2022, 23:06:06

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 163
  • -Ontvangen: 2397
  • Berichten: 15.347
Re: Root certificate expired - vernieuwen helpt niet!
« Reactie #7 Gepost op: 17 juni 2022, 16:18:06 »
Ik heb een service die mijn nas aanroept is die is er strict op dat elk certificaat in de chain geldig is (en dus faalt die service).

Heb je wel al de public key van de nieuw "ISRG Root X1" root op dat device staan?  Lang niet alle devices krijgen meer updates. Op mijn Android 7 telefoon moest ik die root ook zelf toevoegen omdat Samsung recente telefoons niet meer ondersteunt (Alleen nieuwe)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline barbet

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 4
Re: Root certificate expired - vernieuwen helpt niet!
« Reactie #8 Gepost op: 17 juni 2022, 23:05:44 »
@Briolet Dit was de oplossing! Dank je. Inderdaad in Os X waar die service draait stond nog het oude CA root certificate. Oplossing was simpel: verwijderen en nieuwe van de website downloaden. Issue is verholpen.


 

Inloggen als root DSM6.x

Gestart door RudyBoard Synology DSM 6.1

Reacties: 18
Gelezen: 8957
Laatste bericht 07 maart 2017, 18:59:29
door cyrus1977
Inloggen als root zodat ik bij de map /volume1/@appstore kan komen

Gestart door musicfreakBoard Synology DSM 5.1 en eerder

Reacties: 5
Gelezen: 4877
Laatste bericht 22 februari 2014, 17:00:31
door musicfreak
Is het maken van een Root map mogelijk?

Gestart door VuurvreterBoard Synology DSM 6.1

Reacties: 9
Gelezen: 2853
Laatste bericht 28 november 2017, 21:08:51
door Vuurvreter
Probleem root

Gestart door MescalinoBoard PHPMyAdmin Package

Reacties: 0
Gelezen: 2334
Laatste bericht 16 november 2014, 13:45:36
door Mescalino
NZB Downloads in root

Gestart door ProxxBoard Synology DSM 5.1 en eerder

Reacties: 2
Gelezen: 1745
Laatste bericht 13 oktober 2008, 09:48:53
door Proxx