[Eisfair] Dehydrated: OCSP Error querying OCSP responder

[Rolf Bensch]

Hallo Marcus,

Am 17.12.22 um 15:35 schrieb Marcus Röckrath:
> Hallo Rolf,
> 
> Rolf Bensch wrote:
> 
>> Seit einigen Tagen erhalte ich keine korrekten OCSP-Antworten für 2
>> Domains auf meinem Eis2.
> 
> Was ist E2?

Oh, sorry, meinte natürlich einen E64


> Wir machen und betreuen E1 und E64. Es gab mal offiziell E2 und danch ein
> Eis-NG, aber das meinst du doch nicht.
> 
> Wenn du sehr viele Zertifikate installiert hast, verschluckt sich schonmal
> die Aktualisierung der CRLs, weshalb du gegebenenfalls hier mal bereinigen
> solltest, wofür ich
> 
> https://nettworks.atlassian.net/wiki/spaces/e/pages/2130060/CRLs+bereinigen
> 
> geschrieben habe.
> 
> Wäre zunächst mal einen Versuch wert.


Es sind nur 16 Zertifikate im System. Aus "crls bereinigen" habe ich ein 
Script geschrieben, das hier täglich läuft. Habe das Script soeben 
nochmals manuell angestoßen. Wie immer, gibt es ein paar *.pem die nicht 
heruntergeladen werden.

z.B.
- downloading 
'http://ocsp.usertrust.com/!sectigo_rsa_domain_validation_secure_server_ca.pem' 
...
   file 
'http://ocsp.usertrust.com/!sectigo_rsa_domain_validation_secure_server_ca.pem' 
download failed!
- downloading 'http://ocsp.sectigo.com/!serverdomain.org.pem' ...
   file 'http://ocsp.sectigo.com/!serverdomain.org.pem' download failed!
- downloading 'http://ocsp.sectigo.com/!whserv.de.pem' ...
   file 'http://ocsp.sectigo.com/!whserv.de.pem' download failed!

Das ist aber nichts neues, wurde hier schon einmal behandelt und als 
"temporäre Störung" bewertet. Jetzt stelle ich aber fest, dass auf dem 
benachbarten E1 (in einem anderen Netz) genau diese pem-Dateien 
problemlos geholt werden.

Ich war eigentlich froh darüber, dass ich die notwendigen 
Zertifikatsketten dauerhaft halten konnte. Jetzt holt mich 
offensichtlich irgendeine Nachlässigkeit ein. Wo muss ich suchen?

Grüße

Rolf