[Eisfair] warning: shell level (1000) too high, resetting to 1

Taxena Gasparov gastax at gmail.com
Di Jul 9 14:06:27 CEST 2019 

Hallo Marcus,

Am 05.07.19 um 08:12 schrieb Marcus Roeckrath:
> Da scheint ein Zertifikat zu fehlen, und zwar dieses
> CA Cert Signing Authority
> Wenn du das Mozilla-Bundle nochmal installierst, sollte das dabei sein.

das Bundle hat nicht geholfen, habe händisch das Klasse 1 Zertifikat
von https://www.cacert.org/index.php?id=3 rundergeladen (und das Klasse 3 gegenüber dem vorigen ersetzt) und
gehasht via Menüpunkt 7. Hatte wohl damals gedacht, dass das Klasse 3-Zertifikat ausreichend ist. Zumindest
apache startete und lief damit.

Jetzt scheint die Ausgabe zu passen:
> *
> certificate : cacert-class3_X0E.pem (590d426f) 
> subject     : O = CAcert Inc. OU = httpwww.CAcert.org CN = CAcert Class 3 Root  
> issuer      : O = Root CA OU = httpwww.cacert.org CN = CA Cert Signing Authority emailAddress = supportcacert.org
> MD5 f-print : 2C:FA:3F:F9:F4:4A:0A:6D:3F:57:7E:A8:A8:23:15:BE
> SHA1 f-print: A7:C4:8F:BE:6B:02:6D:BD:0E:C1:B4:65:B8:8D:D8:13:EE:1D:EF:A0
> 
> +-> certificate : cacert-root_X0F.pem (99d0fa06)
>     subject     : O = Root CA OU = httpwww.cacert.org CN = CA Cert Signing Authority emailAddress = supportcacert.org
>     issuer      : O = Root CA OU = httpwww.cacert.org CN = CA Cert Signing Authority emailAddress = supportcacert.org
>     MD5 f-print : 8A:E6:1B:1A:F7:67:9A:90:95:A7:E9:E0:2D:FF:1F:F3
>     SHA1 f-print: DD:FC:DA:54:1E:75:77:AD:DC:A8:7E:88:27:A9:8A:50:60:32:52:A5
> +-> end of chain!   
> 
> checking certificate chain:
> * OCSP Response verify OK (cache)
>   c.pem-class3_X0E.root: good
>     This Update: Jul  9 08:02:29 2019 GMT
>     Next Update: Jul 11 10:33:09 2019 GMT


Und bei "unbenutzte Zertifikate aufräumen" sind die Zertifikatskettenfehler weg:

> │DELETE:R:Deutsche_Telekom_Root_CA_2.pem (0)
> │DELETE:R:pure-ftpd.pem (0)
> │KEEP:I:cacert-class3_X0E.pem (2)
> │KEEP:R:cacert-root_X0F.pem (2)
> │KEEP:C:digicert_sha2_secure_server_ca.pem (1)
> │KEEP:C:LetsEncryptAuthorityX3.pem (1)
> |KEEP:C:eis.dommainname.dyndns.dd.pem (1)


Kann man sich die in Klammer genannte Abhängigkeitenanzahl im Detail anzeigen lassen?
Falls ja, wie?


> Wo kommen
> eis.dommainname.dyndns.dd.pem
> www.dommainname.dyndns.dd.pem
> her; von offiziellen Signierstellen erstellte Zertifikate (cacert?)?

ja, von www.cacert.org.

Nochmal CRL-Bereinigung durchgeführt; die nächsten Tage/Wochen abwarten, ob die Mails wieder verschickt werden.

Dank
Taxi

Mehr Informationen über die Mailingliste Eisfair