[Eisfair] Updating OCSP stapling file (Error)
Nelson Matias
nelson at anires.de
Do Mai 22 12:25:55 CEST 2025
Hallo Jürgen,
am 21.05.2025 um 17:06 schrieb Juergen Edner:
>>>> In /etc/dehydrated/config steht
>>>>
>>>> OCSP_FETCH='yes'
>>>>
>>>> was wiederum so durch das Paketkonfigurationsskript vorgenommen wird.
>>>
>>> ahh, ja, das kann ich also durch die config nicht beeinflussen,
>>
>> Das sollte Jürgen einfach auf "no" setzen, was aber auch der Default ist,
>> also auch einfach entfernt werden kann.
>
> wenn ich mich recht erinnere stand in der Bekanntmachung, das man die
> Responder zum 06.08.2025 abschalten wolle. Vielleicht spielen sie aber
> jetzt schon mit der Funktion herum?!
Das stimmt so. Aktuell ging es um die Funktionalität beim Erneuern eines
Zertifikats. Da wird immer noch versucht das OCSP-Staple-File zu
bekommen, was aber bei jetzt erneuerten Zertifikaten fehl schlägt.
Sollte durch diesen 'Fehler' die Funktionalität nicht beeinträchtigt
sein, kannst du auch erst zum Abschalten der Responder das Paket
aktualisieren.
Falls du aber doch jetzt schon reagieren willst, dann könntest du
OCSP-Funktionalität jetzt schon abschalten. Die Zertifikate hatten ja eh
schon beide Infos (OCSP und crl) drin und seit dem 07.05.2025 ist jetzt
nur noch die crl-Info im Zertifikat. Also sollte alles auch ohne
OCSP-Funktionen ohne Probleme funktionieren.
--
Gruß
Nelson
Mehr Informationen über die Mailingliste Eisfair