Am 30.09.2021 ist die Let’s Encrypt Root CA abgelaufen. Bei vielen Geräten, die nicht automatisch die neue Root CA über Updates erhalten, werden dann entsprechende Zertifikate nicht mehr als vertrauenswürdig eingestuft.

Wenn das SSL-Scanning und die Überprüfung der Zertifikate im Sophos UTM Webproxy konfiguriert wurde, kann bei bei dieses Webseiten auch hier eine Fehlermeldung erscheinen. In diesem Falle fehlt die entsprechende Root CA und sollte nachinstalliert werden.

Wenn im Sophos Webadmin unter Web Protection / Filtering Options / HTTPS CAs der folgende Eintrag fehlt:

  • Internet Security Research Group ISRG Root X1 (Fingerprint: CA:BD:2A:79:A1:07:6A:31:F2:1D:25:36:35:CB:03:9D:43:29:A5:E8)

dann kann diese Root CA bei Let’s Encrypt (https://letsencrypt.org/certificates/) heruntergeladen und zur Liste der CAs hinzugefügt werden. Dazu wird das öffentliche Zertifikat im PEM Format benötigt (https://letsencrypt.org/certs/isrg-root-x1-cross-signed.pem) und über den Punkt „Upload local CA“ hochgeladen und installiert.