[Eisfair] Dehydrated: OCSP Error querying OCSP responder
Marcus Röckrath
marcus.roeckrath at gmx.de
So Dez 18 09:59:14 CET 2022
Hallo Rolf,
Rolf Bensch wrote:
>> Was ist E2?
>
> Oh, sorry, meinte natürlich einen E64
Hatte ich vermutet, wollte das nur sicher geklärt haben.
> Es sind nur 16 Zertifikate im System. Aus "crls bereinigen" habe ich ein
> Script geschrieben, das hier täglich läuft. Habe das Script soeben
> nochmals manuell angestoßen. Wie immer, gibt es ein paar *.pem die nicht
> heruntergeladen werden.
>
> z.B.
> - downloading
>
'http://ocsp.usertrust.com/!sectigo_rsa_domain_validation_secure_server_ca.pem'
> ...
> file
>
'http://ocsp.usertrust.com/!sectigo_rsa_domain_validation_secure_server_ca.pem'
> download failed!
> - downloading 'http://ocsp.sectigo.com/!serverdomain.org.pem' ...
> file 'http://ocsp.sectigo.com/!serverdomain.org.pem' download failed!
> - downloading 'http://ocsp.sectigo.com/!whserv.de.pem' ...
> file 'http://ocsp.sectigo.com/!whserv.de.pem' download failed!
>
> Das ist aber nichts neues, wurde hier schon einmal behandelt und als
> "temporäre Störung" bewertet. Jetzt stelle ich aber fest, dass auf dem
> benachbarten E1 (in einem anderen Netz) genau diese pem-Dateien
> problemlos geholt werden.
Mittels wget konnte ich hier sowohl aus E1 als auch E64 diese URL
downloaden:
eis # wget
http://ocsp.usertrust.com/\!sectigo_rsa_domain_validation_secure_server_ca.pem
--2022-12-18 09:49:45--
http://ocsp.usertrust.com/!sectigo_rsa_domain_validation_secure_server_ca.pem
Resolving ocsp.usertrust.com (ocsp.usertrust.com)... 104.18.32.68,
172.64.155.188
Connecting to ocsp.usertrust.com (ocsp.usertrust.com)|104.18.32.68|:80...
connected.
HTTP request sent, awaiting response... 200 OK
Length: 5 [application/ocsp-response]
Saving to: '!sectigo_rsa_domain_validation_secure_server_ca.pem'
!sectigo_rsa_domain_vali 100%[==================================>] 5
--.-KB/s in 0s
2022-12-18 09:49:45 (249 KB/s) -
'!sectigo_rsa_domain_validation_secure_server_ca.pem' saved [5/5]
eis # wget http://ocsp.sectigo.com/\!serverdomain.org.pem
--2022-12-18 09:51:30-- http://ocsp.sectigo.com/!serverdomain.org.pem
Resolving ocsp.sectigo.com (ocsp.sectigo.com)... 104.18.32.68,
172.64.155.188
Connecting to ocsp.sectigo.com (ocsp.sectigo.com)|104.18.32.68|:80...
connected.
HTTP request sent, awaiting response... 200 OK
Length: 5 [application/ocsp-response]
Saving to: '!serverdomain.org.pem'
!serverdomain.org.pem 100%[==================================>] 5
--.-KB/s in 0s
2022-12-18 09:51:31 (347 KB/s) - '!serverdomain.org.pem' saved [5/5]
eis # wget http://ocsp.sectigo.com/\!whserv.de.pem
--2022-12-18 09:52:01-- http://ocsp.sectigo.com/!whserv.de.pem
Resolving ocsp.sectigo.com (ocsp.sectigo.com)... 104.18.32.68,
172.64.155.188
Connecting to ocsp.sectigo.com (ocsp.sectigo.com)|104.18.32.68|:80...
connected.
HTTP request sent, awaiting response... 200 OK
Length: 5 [application/ocsp-response]
Saving to: '!whserv.de.pem'
!whserv.de.pem 100%[==================================>] 5
--.-KB/s in 0s
2022-12-18 09:52:01 (350 KB/s) - '!whserv.de.pem' saved [5/5]
Zur Info: Ein ! in der URL führt auf der Kommandozeile zu einem event not
found und muss daher escaped werden. Oder man läßt in der URL das ! wegm
was zum gleichen Downloadergebnis führt, auch wenn die Datei nur 5 Bytes
groß ist, ist es aber kein "download failed".
> Ich war eigentlich froh darüber, dass ich die notwendigen
> Zertifikatsketten dauerhaft halten konnte. Jetzt holt mich
> offensichtlich irgendeine Nachlässigkeit ein. Wo muss ich suchen?
Wenn praktisch die gleiche Konstellation in einem Netz funktioniert, im
anderen nicht, dann sähe ich hier erstmal eher die Ursache im Netz und
nicht auf dem eis.
Du kannst den Problemeis nicht mal temporär in das andere Netz zum Gegentest
holen?
Gibt es Unterschiede zwischen den Netzen?
--
Gruß Marcus
[eisfair-Team]
Mehr Informationen über die Mailingliste Eisfair