Warum wird das SSL-Zertifikat von meinem API-Client (z.B. Filemaker, cURL) nicht als gültig erkannt?

Last modified: 5. Mai 2022

Sie benutzen FileMaker oder andere Clients und haben Probleme mit dem SSL Zertifikat beim Abruf der ITscope.com API.

Was müssen Sie einstellen, damit die Abrufe mit älteren Systemen fehlerfrei funktionieren?

Auf älteren bzw. seit 2021 nicht aktualisierten Systemen könnte eventuell das Let’s Encrypt Root-Zertifikat fehlen oder ein älteres ausgelaufenes Let’s Encrypt Root installiert sein. Die Problematik wird hier beschrieben:
https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
(im Detail: „(1) all clients of your API must trust ISRG Root X1 (not just DST Root CA X3), and (2) if clients of your API are using OpenSSL, they must use version 1.1.0 or later. In OpenSSL 1.0.x, a quirk in certificate verification means that even clients that trust ISRG Root X1 will fail when presented with the Android-compatible certificate chain we are recommending by default.“)

Je nach verwendetem Client müssen Sie also die Root-Zertifikate aktualisieren, damit unsere Serverzertifikate als gültig erkannt werden. Statt der abgelaufenen Let’s Encrypt „DST Root CA X3“ muss die neuere „ISRG Root X1“ installiert sein.
Hier ein Thread mit gesammelten Infos zum Update verschiedener Systeme:

https://community.letsencrypt.org/t/help-thread-for-dst-root-ca-x3-expiration-september-2021/149190

Hier 2 Beispiele für ältere Debian Systeme:

https://blog.rac.me.uk/2016/05/04 
https://stackoverflow.com/questions/69408776/how-to-force-older-debian-to-forget-about-dst-root-ca-x3-expiration-and-use-isrg

Was müssen Sie einstellen, damit die Abrufe mit Filemaker fehlerfrei funktionieren?

Dem Plug-in von MBS für Filemaker liegen standardmäßig keine Root-Zertifikate bei („Also you need a cacert.pem file with certificates“).
Dadurch findet CURL kein Root-Zertifikat für das Let’s Encrypt Zertifikat unserer Server und erkennt unser Zertifikat als self-signed.
Sie können sich daher auf der folgenden Webseite das Zertifikatsbundle herunterladen und die entsprechende Option im Plugin setzen: http://curl.haxx.se/docs/caextract.html

Weitere Informationen zum Plugin: http://www.mbsplugins.de/archive/2013-01-31/SSL_Security_with_CURL/monkeybreadsoftware_blog_archive

Was this article helpful?
Dislike 0
Views: 73