[Eisfair] dehydrated: Fehlermeldung
Juergen Edner
juergen at eisfair.org
So Aug 2 11:28:11 CEST 2020
Hallo Rolf,
> # INFO: Using main config file /etc/dehydrated/config
> Processing www.myDomain.de
> + Checking domain name(s) of existing cert... unchanged.
> + Checking expire date of existing cert...
> + Valid till Oct 2 21:13:18 2020 GMT (Longer than 30 days). Skipping
> renew!
> + Updating OCSP stapling file
> ERROR: Error while fetching OCSP information: Error connecting BIO
> Error querying OCSP responder
> 140085975721216:error:02002065:system library:connect:Network is
> unreachable:crypto/bio/b_sock2.c:110:
> 140085975721216:error:2008A067:BIO routines:BIO_connect:connect
> error:crypto/bio/b_sock2.c:111:
> 140085975721216:error:02002065:system library:connect:Network is
> unreachable:crypto/bio/bss_conn.c:173:hostname=ocsp.int-x3.letsencrypt.org
> service=80
> 140085975721216:error:20073067:BIO routines:conn_state:connect
> error:crypto/bio/bss_conn.c:177:
> -> Executing hook script 'exit_hook' ...
ich denke, dass hier in der Tat ein Verbindungsproblem auftrat und
der OCSP-Responder nicht erreicht werden konnte.
> Hintergrund dieser Fehlermeldung ist aber vermutlich, dass
> http://ocsp.pca.dfn.de vom Server aus nicht erreichbar ist.
Nicht ganz. Es muss ein OCSP-Responder laufen, der die Anfrage korrekt
beantworten kann. Dies scheint nicht der Fall zu sein.
> eis64-2 (/) # ping ocsp.pca.dfn.de
> PING ocsp.pca.dfn.de (193.174.13.86) 56(84) bytes of data.
> ^C
> --- ocsp.pca.dfn.de ping statistics ---
> 19 packets transmitted, 0 received, 100% packet loss, time 18403ms
>
> Die IP wird aufgelöst, antwortet aber nicht auf ping
>
> eis64-2 (/) # echoping -h / ocsp.pca.dfn.de
> HTTP error "HTTP/1.1 404 404
> "
>
> eis64-2 (/) # telnet ocsp.pca.dfn.de 80
> Trying 193.174.13.86...
> Connected to ocsp.pca.dfn.de.
> Escape character is '^]'.
Dies muss nicht unbedingt etwas bedeuten. In vielen Firewalls werden
Ping-Requests standardmäßig automatisch gedroppt. Ein Zugriff auf den
Port ist da eher aussagekräftig.
> Kann ich davon ausgehen, dass bei http://ocsp.pca.dfn.de etwas faul ist
> oder muss ich irgendwo nachsteuern?
Ja.
> Das Problem könnte durch ein Update der Fritzbox zu V7.20 entstanden sein.
Dies glaube ich erst einmal nicht, da die Fritzbox eher eingehende
als ausgehende Verbindungen limitiert.
Gruß Jürgen
--
Mail: juergen at eisfair.org
Mehr Informationen über die Mailingliste Eisfair