Engaged schrieb:
Die Frage ist Ernst gemeint: Wie kommst Du darauf, Andere würden neuerdings den selben Trust-Anchor verwenden, also
SSL.Com ECC? Solche Dinge kannst Du über die Kommandozeile überprüfen, also z. B.
openssl s_client -connect family.cloudflare-dns.com:853
Der Port am Ende ergibt sich durch
DoT. SSL.com war früher ein Reseller von TLS-Zertifikaten, der inzwischen auch selbst-ausgestellte, also seine eigenen Zertifikate unter die Leute bringen will. Dazu muss er als Trust-Anchor akzeptiert bzw. hinterlegt sein, in jedem Web-Browser dieser Welt bzw. im Betriebssystem selbst. Das geschah ab dem
Jahr 2017. FRITZ! managed sein eigenes Betriebssystem und daher einen eigenen Trust-Store; die informiert keiner, ein Mitarbeiter müsste dem immer hinterherlaufen, was normalerweise völlige Überforderung bedeutet. Hat auch MikroTik
überfordert …
Als Anbieter wie Cloudflare den Trust-Anchor zu wechseln, kann man jederzeit machen. Aber auf einen wie SSL.com umzuschwenken, der dermaßen jung ist, würde ich mir als Privat-Person nicht einmal antun. Vermutlich hat der Software-Entwickler bei Cloudflare schlicht keinen Plan und wurde
übertölpert.
Und eigentlich von Cloudflare auch falsch gemacht, weil SSL.com zu SecureTrust bzw. XRamp cross-signiert ist. Jene beiden Trust-Anchor sind bereits seit dem
Jahr 2005 bekannt. Hätte Cloudflare jenes Zwischen-Zertifikat ebenfalls hinterlegt, hätten sie also 12 Jahre mehr Kompatibilität. Ob das einen Unterschied bei FRITZ! oder MikroTik gemacht hätte, müsste ich jetzt nachschauen, aber den eigentlichen Fehler sehe ich bei Cloudflare. Ist aber jetzt egal, beide sollten sich bewegen.
@Engaged wo hast Du das mit
dns.quad9.net aufgeschnappt?
Quad9 (und 10, und 11) lösen bei mir zu
DigiCert G3 auf.
Chris0973 schrieb:
dns.adguard-dns.com bei dns over tls und das funktioniert nur noch bei deaktivierter zertifikatsprüfung bei mir
Ist zwar das selbe Symptom mit dem gleichen
Workaround, hat aber eine andere Ursache, weil dort der Trust-Anchor nicht zu SSL.com sondern zu
UserTrust ECC auflöst. Folglich bleibt Dir nichts anders übrig, als Dich an FRITZ! zu
wenden … (Dein Modell und dann unten die Taste „Support kontaktieren“). Weil FRITZ!OS so wenig mit uns redet, kann ich das für Dich gerade nicht analysieren.
Daher ist Bug-Reporting so gefährlich. Man hat dasselbe
Symptom, aber ohne Analyse weiß man nicht, ob man die selbe
Ursache hat. Falls nicht, aber man nicht meldet, löst der Bug-Fix zwar das andere aber nicht das eigene Problem. Daher im Zweifel immer melden, denn Duplicates kann ein Hersteller vergleichsweise leicht erkennen und zusammenführen.
