[Eisfair] Dehydrated: OCSP Error querying OCSP responder

Rolf Bensch azubi at bensch-net.de
So Dez 18 12:30:48 CET 2022 

Hallo Marcus,

> ...
> Mittels wget konnte ich hier sowohl aus E1 als auch E64 diese URL
> downloaden:

Das funktioniert hier auch auf dem E64 (s.u.)

> ...
> Du kannst den Problemeis nicht mal temporär in das andere Netz zum Gegentest
> holen?

Nein, das geht leider nicht (örtliche Trennung).

> Gibt es Unterschiede zwischen den Netzen?

E64 an FB 7590   an Telekom DSL
E1  an FB 7590AX an Vodafone DSL
  
Da wget funktioniert, vermutete ich ein Rechteproblem. Das sieht aber auf dem E1 und E64 identisch aus. Trotzdem:

   eis64-2 (certs) # cd /var/certs/ssl/certs/
   eis64-2 (certs) # wget http://ocsp.sectigo.com/\!whserv.de.pem
   --2022-12-18 12:11:02--  http://ocsp.sectigo.com/!whserv.de.pem
   Resolving ocsp.sectigo.com (ocsp.sectigo.com)... 172.64.155.188, 104.18.32.68
   Connecting to ocsp.sectigo.com (ocsp.sectigo.com)|172.64.155.188|:80... connected.
   HTTP request sent, awaiting response... 200 OK
   Length: 5 [application/ocsp-response]
   Saving to: '!whserv.de.pem.1'

   !whserv.de.pem.1               100%[====================================================>]       5  --.-KB/s    in 0s

   2022-12-18 12:11:02 (412 KB/s) - '!whserv.de.pem.1' saved [5/5]

Soweit okay.


   eis64-2 (certs) # /var/install/bin/certs-update-crl --all

   Certificate revocation list (CRL) handling

   fetching CRL URLs from certificates ...
   unable to load certificate
   139747328018240:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
   unable to load certificate
   140210311624512:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE

Mit diesen 2 Meldungen kann ich nichts anfangen

   - file AAACertificateServices.pem ...
     url 'http[s]?://crl.comodoca.com/AAACertificateServices.crl' already in CRL list.
   - file COMODORSAAAACA.pem ...
     url 'http[s]?://crl.comodoca.com/AAACertificateServices.crl' already in CRL list.
   - file cloudflare_inc_ecc_ca-3.pem ...
     url 'http[s]?://ocsp.digicert.com/!cloudflare_inc_ecc_ca-3.pem' already in CRL list.
   - file mail.bensch-net.info.pem ...
     url 'http[s]?://r3.o.lencr.org/!mail.bensch-net.info.pem' already in CRL list.
   - file r3.pem ...
     url 'http[s]?://x1.c.lencr.org/' already in CRL list.
   - file sectigo_rsa_domain_validation_secure_server_ca.pem ...
     url 'http[s]?://ocsp.usertrust.com/!sectigo_rsa_domain_validation_secure_server_ca.pem' already in CRL list.
   - file serverdomain.org.pem ...
     url 'http[s]?://ocsp.sectigo.com/!serverdomain.org.pem' already in CRL list.
   - file usertrust_rsa_certification_authority.pem ...
     url 'http[s]?://crl.comodoca.com/AAACertificateServices.crl' already in CRL list.
   - file whserv.de.pem ...
     url 'http[s]?://ocsp.sectigo.com/!whserv.de.pem' already in CRL list.
   - file www.bensch-net.info.pem ...
     url 'http[s]?://r3.o.lencr.org/!www.bensch-net.info.pem' already in CRL list.
   update all CRL files ...
   - downloading 'http://crl.comodoca.com/AAACertificateServices.crl' ...
   AAACertificateServices.crl     100%[====================================================>]     506  --.-KB/s    in 0s
     converting CRL file to PEM format ...

Hier hat's funktioniert

   - updating CRL list ...
   - job '63245' (2022-12-24 16:39) already exists.
   - downloading 'http://ocsp.digicert.com/!cloudflare_inc_ecc_ca-3.pem' ...
     file 'http://ocsp.digicert.com/!cloudflare_inc_ecc_ca-3.pem' download failed!
   - downloading 'http://r3.o.lencr.org/!mail.bensch-net.info.pem' ...
     file 'http://r3.o.lencr.org/!mail.bensch-net.info.pem' download failed!
   - downloading 'http://x1.c.lencr.org/' ...
   index.html                     100%[====================================================>]     717  --.-KB/s    in 0s
     converting CRL file to PEM format ...

"index.html" erscheint mir an dieser Stelle etwas seltsam.

   - updating CRL list ...
   - job '63246' (2023-04-18 02:02) already exists.
   - downloading 'http://ocsp.usertrust.com/!sectigo_rsa_domain_validation_secure_server_ca.pem' ...
     file 'http://ocsp.usertrust.com/!sectigo_rsa_domain_validation_secure_server_ca.pem' download failed!
   - downloading 'http://ocsp.sectigo.com/!serverdomain.org.pem' ...
     file 'http://ocsp.sectigo.com/!serverdomain.org.pem' download failed!
   - downloading 'http://ocsp.sectigo.com/!whserv.de.pem' ...
     file 'http://ocsp.sectigo.com/!whserv.de.pem' download failed!

Hier jetzt mehrfach nicht

   - downloading 'http://r3.o.lencr.org/!www.bensch-net.info.pem' ...
     file 'http://r3.o.lencr.org/!www.bensch-net.info.pem' download failed!
   updating hashes ...
   finished.
   Press ENTER to continue
   eis64-2 (certs) #

Auffallend ist für mich, dass alle URLs mit "!", die aktualisiert werden sollen, nicht funktionieren. Gleichzeitig aber URLs mit "!" mehrfach "already in list" sind (auch whserv.de.pem), d.h. irgendwann einmal korrekt importiert wurden.

Bin mit dieser Materie überfordert.

Grüße

Rolf

Mehr Informationen über die Mailingliste Eisfair