[Eisfair] Seltsame Mail-Meldungen nach certs-Update

Marcus Roeckrath marcus.roeckrath at gmx.de
Mo Jul 3 09:37:10 CEST 2017 

Hallo Rene,

Rene Hanke wrote:

> 8. Update revocation list(s)
> 
> per Hand angestoßen. Dabeo gab es folgende (Fehler)Meldungen:
> 
> - file DST_Root_CA_X3.pem doesn't contain a CRL URL!
> - file Deutsche_Telekom_Root_CA_2.pem doesn't contain a CRL URL!
> - file VeriSign_Class_3_Public_Primary_Certification_Authority_-_G5.pem
> doesn't contain a CRL URL!
> - file mini_httpd.pem doesn't contain a CRL URL!

Kein Problem, es gibt halt Zertifikate, die keine CRL-URL beinhalten.


> - job '721' (2017-09-15 18:16) already exists.
> - downloading
>
'ldap://directory.d-trust.net/CN=D-TRUST%20Root%20Class%203%20CA%202%202009,O=D-Trust%20GmbH,C=DE?certificaterevocationlist'
> ..
> - file
>
'ldap://directory.d-trust.net/CN=D-TRUST%20Root%20Class%203%20CA%202%202009,O=D-Trust%20GmbH,C=DE?certificaterevocationlist'
> download failed!
> /usr/local/ssl/crl/CN=D-TRUST%20Root%20Class%203%20CA%202%202009,O=D-Trust%20GmbH,C=DE?certificaterevocationlist:
> No such file or directory

Jürgen versucht einen vernünftigen Namen für das CRL zu ermitteln, was wohl
bei einigen Zertifikaten (auch hier) fehlschlägt.

Mach mal

eis # grep "%" /var/certs/ssl/certs-update-crl-list
ldap://directory.d-trust.net/CN=D-TRUST%20Root%20Class%203%20CA%202%202009,O=D-Trust%20GmbH,C=DE?certificaterevocationlist
CN=D-TRUST%20Root%20Class%203%20CA%202%202009,O=D-Trust%20GmbH,C=DE?certificaterevocationlist
ldap://directory.d-trust.net/CN=D-TRUST%20Root%20Class%203%20CA%202%20EV%202009,O=D-Trust%20GmbH,C=DE?certificaterevocationlist
CN=D-TRUST%20Root%20Class%203%20CA%202%20EV%202009,O=D-Trust%20GmbH,C=DE?certificaterevocationlist

Ich meine, er ermiitelt den Dateinamen aus dem CN-Anteil.

Schau mal, ob Du in obiger Datei nach Augenschein andere "komische"
Dateinamen findest; ich habe jetzt beim grep nur nach % gesucht, weil die
anderen in der Datei sauber aussehen.

> - job '743' (2017-07-15 02:03->2018-06-15 02:03) updated.
>   url: http://crl.globalsign.net/root-r2.crl
> - downloading 'http://www.sk.ee/juur/crl/' ...
> index.html                                    [ <=>
>                                                             ]  12.98K
> --.-KB/s    in 0.004s
> - unknown CRL file format
> 'HTMLdocument,UTF-8Unicodetext,withCRLF,LFlineterminators'.

Da wird unter der im Zertifikat angegebenen URL keine CRL gefunden; schmeiß
die URL mal in einen Browser, da kommt schlicht eine Webseite.

> - job '733' (2017-07-06 13:48) already exists.
> - downloading
> 'http://www.suscerte.gob.ve/lcr/CERTIFICADO-RAIZ-SHA384CRLDER.crl' ...
> CERTIFICADO-RAIZ-SHA384CRLDER.crl
>
100%[=====================================================================================>]
>   1.05K  --.-KB/s    in 0s
> - file
> 'http://www.suscerte.gob.ve/lcr/CERTIFICADO-RAIZ-SHA384CRLDER.crl'
> download failed!

Möglicherweise temporärer Downloadfehler; manueller Download funktioniert
und auch auf meinem eis wurde das CRL am 3.7. erneuert.

> Schlimm / gut / egal?

Nein / nein / nein.

Jürgen wird wohl nochmal an die Dateinamen für die CRL ranmüssen.

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair