[Eisfair] Updating OCSP stapling file (Error)

Nelson Matias nelson at anires.de
Do Mai 22 12:25:55 CEST 2025


Hallo Jürgen,

am 21.05.2025 um 17:06 schrieb Juergen Edner:
>>>> In /etc/dehydrated/config steht
>>>>
>>>> OCSP_FETCH='yes'
>>>>
>>>> was wiederum so durch das Paketkonfigurationsskript vorgenommen wird.
>>>
>>> ahh, ja, das kann ich also durch die config nicht beeinflussen,
>>
>> Das sollte Jürgen einfach auf "no" setzen, was aber auch der Default ist,
>> also auch einfach entfernt werden kann.
> 
> wenn ich mich recht erinnere stand in der Bekanntmachung, das man die 
> Responder zum 06.08.2025 abschalten wolle. Vielleicht spielen sie aber 
> jetzt schon mit der Funktion herum?!

Das stimmt so. Aktuell ging es um die Funktionalität beim Erneuern eines 
Zertifikats. Da wird immer noch versucht das OCSP-Staple-File zu 
bekommen, was aber bei jetzt erneuerten Zertifikaten fehl schlägt.
Sollte durch diesen 'Fehler' die Funktionalität nicht beeinträchtigt 
sein, kannst du auch erst zum Abschalten der Responder das Paket 
aktualisieren.
Falls du aber doch jetzt schon reagieren willst, dann könntest du 
OCSP-Funktionalität jetzt schon abschalten. Die Zertifikate hatten ja eh 
schon beide Infos (OCSP und crl) drin und seit dem 07.05.2025 ist jetzt 
nur noch die crl-Info im Zertifikat. Also sollte alles auch ohne 
OCSP-Funktionen ohne Probleme funktionieren.

-- 
Gruß
Nelson


Mehr Informationen über die Mailingliste Eisfair