[Eisfair] Fehler bei clamav

[Stefan Puschek]

Hallo Marcus,
...
>>>> der aktuelle clamav 1.2.64 kann seine Definitionen nicht mehr
>>>> aktualisieren; wie behebe ich das?
>>>
>>> Indem das passende Root-Zertifikat installiert wird, und zwar
>>> Addtrust External CA Root
>>
>> wo hätte ich diese Info denn selbst finden können? In der Paket-Doku
>> habe ich nix gefunden...
> 
> Wie das mit ähnlichen Problemen immer so ist, wenn eine https-Verbindung
> fehlschlägt, kann das Serverzertifikat nicht verifiziert werden. Das das
> Problem in diese Richtung geht, zeigt ein Blick in das clamav-Update-Log
> unter /var/log.
> 
> Ich hatte das Problem auch nur auf einer Maschine und konnte mir das daher
> nicht sofort erklären.
> 
> Dann habe ich mir mit
> 
> /var/install/bin/certs-request-cert --writecert --replace http
> https://database.clamav.net
> 
> mal das von den clamav-Servern präsentierte Zertifikat downgeloadet, was
> dann folgende Zertifikate ins System spült:
> 
> eis # /var/install/bin/certs-request-cert --simulate http
> https://database.clamav.net | grep " file "
> certificate file 'ssl392509.cloudflaressl.com.pem' ...
> certificate file 'comodo_ecc_domain_validation_secure_server_ca_2.pem' ...
> certificate file 'comodo_ecc_certification_authority.pem' ...
> 
> Nun im Certs-Menu mal die Chain des obersten Zertifikates angesehen zeigte
> auf meinem privaten system ein fehlendes Zertifikat für "AddTrust External
> CA Root". Clamav liefert mit seinem Zertifikat die Zwischenzertifikate von
> commodo mit aus, aber korrekterweise nicht das Root.
> 
> Damit war klar, warum es auf meinem Schulserver ging, denn da hatte ich das
> Zertifikat zufällig aus anderen Gründen schon installiert.

Danke für die ausführliche Erklärung!

>> Tante google findet alle möglichen Update-Probleme, aber dieses ist
>> nicht dabei...
> 
> Warum das Problem nun erstmalig mit der neuen Version von clamav auftritt,
> kann ich nicht sagen, vielleicht war früher ein fallback auf eine
> ungesicherte http Verbindung am Start.
> 
>> Eigentlich müssten doch jetzt alle Benutzer des clamav hier aufschlagen
>> mit diesem Problem :)
> 
> Nein, denn wer das Addtrust-Zertifikat zufällig auf dem System hat, merkt
> von dem Problem nichts. IMHO steckt es auch im nachinstallierbaren
> Mozilla-Bundle.
> 
> Ich habe aber auf meinen Systemen mal alle Zertifikate aus dem Bundle wieder
> entfernt, die ich offensichtlich nicht brauche.

und ich hatte bis heute das Bundle nicht gebraucht, daher ist es bei mir 
nicht vorhanden

> Das hat dann aber den Effekt, dass man da schonmal in die SSL-Falle laufen
> kann.
> 
> Wer möglichst Ruhe bei dem Thema haben will, sollte das Bundle installieren.

und wer im certs-Paket 'Identify unrequired certificates' macht bekommt 
auch vielleicht auch Spass, denn genau dieses Zertifikat wollte er nun 
deleten weil überflüssig :)

Groetjes
Stefan