Nextcloud Client kann sich nicht verbinden "Ungültiges Zertifikat"

kallle · October 2, 2021, 1:51pm

Vorab: Es geht NICHT um ein Problem in Nextcloud und auch nicht um ein Serverproblem!

Seit vorgestern kann sich auf EINEM PC der Nextcloud-Arbeitsgruppe der Nextcloud-Client (ist aktuell 3.3.5) nicht mehr mit dem Server verbinden.
Bei jedem Verbindungsversuch erscheint die FALSCHE Fehlermeldung:

"Nicht vertrauenswürdiges Zertifikat!
Kann keine sichere Verbindung zu …cloud… herstellen.
Das Zertifikat des Ausstellers eines lokal gefundenen Zertifikats konnte nichtgefunden werden
mit Zertifikat ISRG Root X1 […]
Aussteller: DST Root CA X3
Suche-nach-falschem-Zertifikat

Tatsächlich aber ist der Nextcloud-Server mit einem GÜLTIGEN Letsencrypt-Zertifikat abgesichert.
M. a. W.: Entweder spinnt der Nextcloud-Client oder das installierte Windows 10 oder beide haben sich zur Spinnerei verbündet.

Auf (den) anderen PCs der Arbeitsgruppe funktioniert die Verbindung nach wie vor. Auf dem Server wurde in den letzten Tagen nichts geändert (außer einigen Arbeitsdateien).

Meine Frage: Ist dieses Problem hier bekannt? Und wurde es schon einmal erfolgreich beseitigt?
Leider funktioniert die “Problemlösung” aus dem folgenden Thread vor 2½ Jahren bei mir nicht!
Ungültiges Zertifikat - Nextcloud Client

Viele Grüße, Kallle

bb77 · October 2, 2021, 2:34pm

Hallo @kallle

Scheint ein bekanntes Problem mit dem Nextcloud Client in Verbindung mit Windows zu sein.

github.com/nextcloud/desktop

ISRG Root X1 Certificate not trusted

opened 10:26PM - 30 Sep 21 UTC

chris246

bug approved

Hi, for some reasons, Nextcloud Desktop started throwing errors today about b…eing unable to securely connect to my server that uses a valid Let's Encrypt certificate signed by _R3_ (intermediate) and _ISRG Root X1_ (root certificate). Visiting Nextcloud via Browsers (Firefox, Edge, Internet Explorer) all works on the same PC. On a different PC, the issue resolved itself after updating to Nextcloud Desktop 3.3.5, but on this PC that did not help. I am aware of Let's Encrypt switching to a new root CA: https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/ The errors started showing up today, after the previously used cross signed intermediate/root expired: https://letsencrypt.org/certificates/ The problem seems to be, that the certificate of the issuer _DST Root CA X3_ expired and therefore the certificate _ISRG Root X1_ can't be validated, even though it should be trusted on its own. ISRG Root X1: https://crt.sh/?id=3958242236 DST Root CA X3: https://crt.sh/?id=8395 (expired September 30) ### Client configuration Client version: 3.3.3, 3.3.4, 3.3.5 All three versions show this error Operating system: Windows 10 OS language: German Full error message (sorry, German only): ``` Kann keine sichere Verbindung zu **** herstellen: Das Zertifikat des Ausstellers eines lokal gefundenen Zertifikats konnte nicht gefunden werden mit Zertifikat ISRG Root X1 Organisation: Internet Security Research Group Einheit: <nicht angegeben> Land: US Fingerabdruck (SHA-256): 6d:99:fb:26:5e:b1:c5:b3:74:47:65:fc:bc:64:8f:3c:d8:e1:bf:fa:fd:c4:c2:f9:9b:9d:47:cf:7f:f1:c2:4f Fingerabdruck (SHA-512): 7a:dc:2b:5f:11:e5:d1:2d:f7:ad:b6:ce:e9:5e:04:f7:ec:a7:14:40:4b:ff:58:84:9a:36:0b:91:0f:3a:fb:dc:37:23:5c:dd:99:e3:3b:4e:82:ef:ee:e1:6d:59:85:73:a4:e3:46:e0:a6:bd:c4:1f:70:b3:60:3c:6f:43:24:fa Datum des Inkrafttretens: Mi Jan 20 19:14:03 2021 GMT Ablaufdatum: Mo Sep 30 18:14:03 2024 GMT Aussteller: DST Root CA X3 Organisation: Digital Signature Trust Co. Einheit: Land: ```

Hintergrund:

Let’s Encrypt hat ihre alte Root CA zurückgezogen. Damit die Clients die Zertifikate akzeptieren, welche von der neuen Root CA ausgestellt wurden, muss die neue Root CA in den Zertifikatstores der Clients hinterlegt sein. Normalerweise geschieht dies automatisch über ein Windows Update. Schaue also, dass dein Windows up to date ist und der Nextcloud Client in der neusten Version installiert ist. Falls es dann immer noch nicht geht, sind im verlinkten Issue auf GitHub noch ein paar Tipps enthalten, woran es noch liegen könnte…

Mornsgrans · October 2, 2021, 3:52pm

Hatte ich auch beim Nextcloud Desktop-Client 2.6.5

Abhilfe unter Windows:
certmgr.msc aufrufen und unter „Vertrauenswürdige Stammzertifizierungsstellen“ – „Zertifikate“ den Eintrag „DST Root CA X3“ mit Ablaufdatum „30.09.2021“ suchen und in den Ordner „Nicht vertrauenswürdige Herausgeber“ ziehen.
Nach Neustart des Nextcloud Desktop-Clients sollte die Fehlermeldung nicht mehr auftreten und nach Anklicken des Schlosses in den Einstellungen des Desktop-Clients sollte „DST Root CA X3“ nicht mehr auftauchen, sondern statt dessen „ISRG Root X1“ stehen (vorher sollten beide Einträge existiert haben).
Ist dies nicht der Fall, liegt das Problem auf dem Nextcloud-Server, der möglicherweise nicht die „fullchain.crt“ in den Webserver-Einstellungen eingebunden hat.

Die Ursache des Problems beim Desktop-Client liegt offenbar bei diesem selbst, der das abgelaufene Root Zertifikat und das neue „zieht“, vermutlich weil es von einem anderen Herausgeber stammt.

Viel Erfolg

kallle · October 3, 2021, 1:46pm

Vielen Dank für den Hinweis!

In der Arbeitsgruppe befinden sich 12 Rechner. Die meisten mit Windows 10. Nur bei EINEM dieser Rechner taucht das Problem auf.
Nach Deinem Hinweis muss ich also annehmen, dass auf diesem EINEN PC Windows 10 nicht aktuell (21H1) ist. Eine andere plausible Erklärung fällt mir dazu nicht ein.
Mal schau’n ob das Windows-Updaten die Lösung bringt. Da muss ich auf die Rückkehr der betroffenen Nutzerin warten.

Gruß, Kallle

kallle · October 3, 2021, 1:49pm

Danke auch Dir!

Jetzt warte ich erst mal ab, ob das von bb77 vorgeschlagene Windows-Updaten die Lösung bringt. es scheint mir die einzig plausible Begründung zu sein, warum alle anderen lokalen PCs kein Problem haben, dieser eine aber schon.

Gruß, Kallle

Mornsgrans · October 3, 2021, 2:45pm

Ich hatte auch auf einigen Rechnern keine Probleme, aber bei denen, die dieses Problem hatten, half das verschieben des alten Zertifikats.

Im Univention-Forum gab es noch einen Hinweis, dass auf dem Nextcloud-Server das Zertifikat in /etc/ca-certificates.conf deaktiviert werden sollte:

Dadurch wird verhindert, dass Clients dieses angeboten erhalten.

kallle · October 3, 2021, 3:24pm

Als shared-hosting-Kunde bei www.all-inkl.com habe ich keinen Zugriff auf /etc/ und auch keinen Kommandozeilenzugriff.
Ich könnte nur über die all-inkl-Verwaltungsoberfläche das Zertifikat deaktivieren, aber ich befürchte, dass das nichts bringt, sondern dass beim erneuten Aktivieren dasselbe (ja noch gültige) Zertifikat wieder tätig ist.

Was m. E. aber auch dafür spricht, dass das Problem nur bei dem EINEN lokalen PC liegt, ist die Tatsache, dass dort gleich zwei ganz verschiedene Nextclouds (auf verschiedenen Webservern und Domains) denselben Fehler erzeugen, während alle anderen bei beiden Nextclouds problemlos weiterlaufen.

Jetzt muss ich abwarten, dass die zugehörige Nutzerin wieder zurückkehrt, und dann erst mal die Aktualität der Windows-Updates auf ihrem PC checken. Wenn das nichts bringt, versuche ich die vorgeschlagene Lösung via certmgr.msc.

Wenn Einer aus dem Fenster springt (und das überlebt), dann braucht ja nur dieser Eine eine entsprechende therapeutische oder spirituelle Behandlung - und nicht die ganze Firma aus deren oberstem Stockwerk er gesprungen ist …

VG, Kallle

kallle · October 6, 2021, 3:48pm

Problem auf dem Server gelöst durch das Löschen des bisherigen Letsencrypt-Zertifikats und das Installieren eines neuen!

Vielen Dank noch einmal für alle Tipps!
Kallle

absolutenoob · November 17, 2021, 9:37pm

Für mich hat bei exakt dem selben Problem diese Anleitung Link geholfen.

Viele Grüße!

Clemi · December 6, 2021, 1:37pm

die wohl einfachste und richtige Lösung, top