[Eisfair] [e-1] stunnel und CRL
Juergen Edner
juergen at eisfair.org
Fr Feb 12 12:11:34 CET 2016
Hallo Alex,
> 2016.02.12 00:56:13 LOG5[26]: Service [mail.netz39.de] connected
> remote server from 10.182.63.95:50642
> 2016.02.12 00:56:13 LOG4[26]: CERT: Pre-verification error: CRL has expired
> 2016.02.12 00:56:13 LOG4[26]: Rejected by CERT at depth=0: CN=*.netz39.de
die Meldung besagt eindeutig, dass es ein Problem mit der CRL gibt. Da
es sich hierbei um ein CACert-Zertifikat handelt, sind allein wegen der
Größe der CRL-Datei Probleme zu erwarten, wenn durch Neustarts der VMs
der Download unterbrochen und so eine unvollständige Datei gespeichert
wird.
cacert-class-1-root.pem: https://www.cacert.org/revoke.crl
-> 7.5MB -> 25min!!
Auch ist es möglich, dass CACert die Datei verzögert aktualisiert hat,
wodurch es zur gleichen Fehlermeldung kommt. Zumindest scheint die Datei
jetzt aktuell zu sein:
# ls -al revoke.crl
---------- 1 root root 7816333 Feb 12 07:01 revoke.crl
Issuer: /O=Root CA/OU=http://www.cacert.org/CN=CA Cert Signing
Authority/emailAddress=support at cacert.org
Last Update: Feb 12 05:59:26 2016 GMT
Next Update: Feb 19 05:59:26 2016 GMT
> Ich hatte die VM die Tage ein paar mal neu gebootet, aber das sollte den
> CRL ja nix tun eigentlich, oder?
Doch, genau dies kann das Problem bereiten, wenn ein Datei-Download
25min oder länger dauert.
Gruß Jürgen
--
Mail: juergen at eisfair.org
Mehr Informationen über die Mailingliste Eisfair