[Eisfair] Dehydrated: OCSP Error querying OCSP responder

So Dez 18 13:19:34 CET 2022

Hallo Rolf,

Rolf Bensch wrote:

>> Mittels wget konnte ich hier sowohl aus E1 als auch E64 diese URL
>> downloaden:
> 
> Das funktioniert hier auch auf dem E64 (s.u.)

Wenn bei mir auf dem eis der Downloadfehler auftritt, dann lässt sich die
URL auch nicht mit wget abrufen:

eis # wget
http://ocsp.digicert.com/\!rapidssl_global_tls_rsa4096_sha256_2022_ca1.pem
--2022-12-18 13:08:10-- 
http://ocsp.digicert.com/!rapidssl_global_tls_rsa4096_sha256_2022_ca1.pem
Resolving ocsp.digicert.com (ocsp.digicert.com)... 93.184.220.29
Connecting to ocsp.digicert.com (ocsp.digicert.com)|93.184.220.29|:80...
connected.
HTTP request sent, awaiting response... 404 Not Found
2022-12-18 13:08:11 ERROR 404: Not Found.

In diesem Fall macht das Certs-Paket auch diese kleine 5-Byte-Datei draus.

>    2022-12-18 12:11:02 (412 KB/s) - '!whserv.de.pem.1' saved [5/5]

Hier bekommst du auch 5 Bytes; ob das dann eine sinnvolle Information ist,
sei mal dahingestellt.

>    eis64-2 (certs) # /var/install/bin/certs-update-crl --all
> 
>    Certificate revocation list (CRL) handling
> 
>    fetching CRL URLs from certificates ...
>    unable to load certificate
>    139747328018240:error:0909006C:PEM routines:get_name:no start
>    line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE unable to
>    load certificate 140210311624512:error:0909006C:PEM
>    routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting:
>    TRUSTED CERTIFICATE

Gammelt in deiem certs-Verzeichnis ein kaputtes Zertifikat rum?

> Mit diesen 2 Meldungen kann ich nichts anfangen
> 
>    - file AAACertificateServices.pem ...
>      url 'http[s]?://crl.comodoca.com/AAACertificateServices.crl' already
>      in CRL list.

Info, stellt kein Problem dar. 

>    - downloading 'http://crl.comodoca.com/AAACertificateServices.crl' ...
>    AAACertificateServices.crl    
>    100%[====================================================>]     506 
>    --.-KB/s    in 0s
>      converting CRL file to PEM format ...

Und enthält auch eine gewisse Menge an Informationen.

> Hier jetzt mehrfach nicht
> 
>    - downloading 'http://r3.o.lencr.org/!www.bensch-net.info.pem' ...
>      file 'http://r3.o.lencr.org/!www.bensch-net.info.pem' download
>      failed!
>    updating hashes ...
>    finished.
>    Press ENTER to continue
>    eis64-2 (certs) #

wget sagt "Bad Request":

eis # wget http://r3.o.lencr.org/\!www.bensch-net.info.pem
--2022-12-18 13:15:43--  http://r3.o.lencr.org/!www.bensch-net.info.pem
Resolving r3.o.lencr.org (r3.o.lencr.org)... 23.0.174.225, 23.10.249.154
Connecting to r3.o.lencr.org (r3.o.lencr.org)|23.0.174.225|:80... connected.
HTTP request sent, awaiting response... 400 Bad Request
2022-12-18 13:15:43 ERROR 400: Bad Request.

eis # wget http://r3.o.lencr.org/www.bensch-net.info.pem
--2022-12-18 13:15:48--  http://r3.o.lencr.org/www.bensch-net.info.pem
Resolving r3.o.lencr.org (r3.o.lencr.org)... 23.0.174.225, 23.10.249.154
Connecting to r3.o.lencr.org (r3.o.lencr.org)|23.0.174.225|:80... connected.
HTTP request sent, awaiting response... 400 Bad Request
2022-12-18 13:15:48 ERROR 400: Bad Request.

> Auffallend ist für mich, dass alle URLs mit "!", die aktualisiert werden
> sollen, nicht funktionieren. Gleichzeitig aber URLs mit "!" mehrfach
> "already in list" sind (auch whserv.de.pem), d.h. irgendwann einmal
> korrekt importiert wurden.

Das ! dient hier als Anzeiger, wie mir Jürgen mal erklärt hat, was aber zu
lange her ist, um es genau wiederzugeben.

Es spielt aber auf dem anderen eis ja bei dir keine Rolle, ob die URL
dieses ! enthält; das certs-Paket enthält E1 und E64 den gleichen
Skript-Code.

> Bin mit dieser Materie überfordert.

Ganz ehrlich? Mich bringt es auch immer an die Grenzen der Verzweiflung.

@Jürgen: Kannst du etwas dazu sagen.

-- 
Gruß Marcus
[eisfair-Team]