[Eisfair] [e-1] stunnel und CRL

Juergen Edner juergen at eisfair.org
Fr Feb 12 12:11:34 CET 2016


Hallo Alex,

> 2016.02.12 00:56:13 LOG5[26]: Service [mail.netz39.de] connected
> remote server from 10.182.63.95:50642
> 2016.02.12 00:56:13 LOG4[26]: CERT: Pre-verification error: CRL has expired
> 2016.02.12 00:56:13 LOG4[26]: Rejected by CERT at depth=0: CN=*.netz39.de

die Meldung besagt eindeutig, dass es ein Problem mit der CRL gibt. Da
es sich hierbei um ein CACert-Zertifikat handelt, sind allein wegen der
Größe der CRL-Datei Probleme zu erwarten, wenn durch Neustarts der VMs
der Download unterbrochen und so eine unvollständige Datei gespeichert
wird.

cacert-class-1-root.pem: https://www.cacert.org/revoke.crl
 -> 7.5MB -> 25min!!

Auch ist es möglich, dass CACert die Datei verzögert aktualisiert hat,
wodurch es zur gleichen Fehlermeldung kommt. Zumindest scheint die Datei
jetzt aktuell zu sein:

# ls -al revoke.crl
---------- 1 root root 7816333 Feb 12 07:01 revoke.crl

Issuer: /O=Root CA/OU=http://www.cacert.org/CN=CA Cert Signing
Authority/emailAddress=support at cacert.org
        Last Update: Feb 12 05:59:26 2016 GMT
        Next Update: Feb 19 05:59:26 2016 GMT

> Ich hatte die VM die Tage ein paar mal neu gebootet, aber das sollte den
> CRL ja nix tun eigentlich, oder?

Doch, genau dies kann das Problem bereiten, wenn ein Datei-Download
25min oder länger dauert.

Gruß Jürgen
-- 
Mail: juergen at eisfair.org


Mehr Informationen über die Mailingliste Eisfair