Jump to content
Froxlor Forum
  • 0

Fehler bei Updatecheck und Newsfeed


serecords
 Share

Question

Hallo zusammen,

seit dem Update auf Froxlor 0.10.29 bzw. auf 0.10.29.1 bekomme ich im Error log der Domain folgende Meldungen und kann die Updatesuche nicht mehr verwenden. Auch der Newsfeed zeigt nichts mehr an.

mod_fcgid: stderr: PHP Fatal error:  Uncaught Exception: Curl error: SSL certificate problem: certificate has expired in /var/www/***/froxlor/lib/Froxlor/Http/HttpClient.php:28, referer: https://server.***.de/froxlor/admin_index.php?s=***&page=overview&lookfornewversion=yes
mod_fcgid: stderr: Stack trace:, referer: https://server.***.de/froxlor/admin_index.php?s=***&page=overview&lookfornewversion=yes
mod_fcgid: stderr: #0 /var/www/***/froxlor/lib/ajax.php(51): Froxlor\\Http\\HttpClient::urlGet('https://inside....'), referer: https://server.***.de/froxlor/admin_index.php?s=***&page=overview&lookfornewversion=yes
mod_fcgid: stderr: #1 {main}, referer: https://server.***.de/froxlor/admin_index.php?s=***&page=overview&lookfornewversion=yes
mod_fcgid: stderr:   thrown in /var/www/***/froxlor/lib/Froxlor/Http/HttpClient.php on line 28, referer: https://server.***/froxlor/admin_index.php?s=***&page=overview&lookfornewversion=yes

Die SSL Zertifikate von Lets Encrypt für den Froxlor vHost werden automatisch erstellt und sind auch aktuell gültig (bis Freitag, 28. Januar 2022). Habe sie extra nochmal erneuern lassen, das Problem besteht aber weiterhin.

Kennt jemand diese Meldung und kann mir da weiterhelfen?

Webserver: 		Apache/2.4.25 (Debian)
PHP-Version: 		7.2.34
MySQL-Server-Version: 	5.5.5-10.4.17-MariaDB-1:10.4.17+maria~jessie
Webserver-Interface: 	CGI-FCGI

 

Link to comment
Share on other sites

7 answers to this question

Recommended Posts

  • 0

OS? Version? ca-certificates version? scheint mir einfach veraltete pakete zu sein, habe hier auf einigen servern absolut kein problem mit den certificates

Link to comment
Share on other sites

  • 0

Ich glaube er meint eher die Zertifikate von unserem Server, wo der updatecheck und das newsfeed (forum-rss) liegt.

Hast du mal geschaut, ob du ggfls die ca-certificates aktualisieren musst? Denn unsere Zertifikate sind alle bis ende dezember gültig und funktionieren einwandfrei

(Btw. Debian jessie ist auch ne runde alt...ein upgrade wäre durchaus sinnvoll)

Link to comment
Share on other sites

  • 0

Hallo,

ich hatte das Thema jetzt mal wieder aufgegriffen. Die ca-certificates waren aktuell, geholfen hat am Ende das manuelle deaktivieren des "DST Root CA X3" Zertifikates geholfen, denn das wurde immer wieder zum prüfen der Lets Encrypt Zertifikate genutzt und ist ja seit 30.09.21 abgelaufen.

Also falls ich damit noch jemandem helfen kann - die Datei /etc/ca-certificates.conf mit einem Editor öffnen und vor folgende Zeile ein  !  setzen

mozilla/DST_Root_CA_X3.crt

Danach dann einmal in der Konsole

update-ca-certificates

 

Ich bin durch diesen Test darauf aufmerksam geworden, da derselbe Fehler beim Test meiner eigenen Domains auftrat.

openssl s_client -connect debian.froxlor.org:https

Ergebnis war immer wieder

CONNECTED(00000003)
depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:0

 

Link to comment
Share on other sites

  • 0

Das brachte leider selbiges Ergebnis. Es wurde bei allen Lets Encrypt Zertifikaten immer wieder das Root CA X3 Zertifikat als abgelaufen angeführt, obwohl das gültige Zertifikat ja durchaus auch aufgeführt wurde.

openssl s_client -connect deb.froxlor.org:https

CONNECTED(00000003)
depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:0

Certificate chain
 0 s:/CN=admin.froxlor.org
   i:/C=US/O=Let's Encrypt/CN=R3
 1 s:/C=US/O=Let's Encrypt/CN=R3
   i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
 2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3

Aber wie bereits beschrieben hat es bei mir geholfen das abgelaufene Zertifikat zu deaktivieren.

Link to comment
Share on other sites

  • 0

keine ahnung wie du das hinkriegst:

d00p@froxlor:~$ openssl s_client -connect deb.froxlor.org:https
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = deb.froxlor.org
verify return:1
---
Certificate chain
 0 s:CN = deb.froxlor.org
   i:C = US, O = Let's Encrypt, CN = R3
   a:PKEY: rsaEncryption, 4096 (bit); sigalg: RSA-SHA256
   v:NotBefore: Apr 21 21:53:14 2022 GMT; NotAfter: Jul 20 21:53:13 2022 GMT
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
   v:NotBefore: Sep  4 00:00:00 2020 GMT; NotAfter: Sep 15 16:00:00 2025 GMT
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
   a:PKEY: rsaEncryption, 4096 (bit); sigalg: RSA-SHA256
   v:NotBefore: Jan 20 19:14:03 2021 GMT; NotAfter: Sep 30 18:14:03 2024 GMT
---
[...]
subject=CN = deb.froxlor.org
issuer=C = US, O = Let's Encrypt, CN = R3
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 5110 bytes and written 397 bytes
Verification: OK
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 4096 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---

 

Link to comment
Share on other sites

  • 0

Hier gern nochmal der komplette Konsolenauszug. Aber reproduzieren kann ich es nicht mehr, nachdem das Zertifikat deaktiviert wurde funktioniert es ja korrekt.

 

serecords@server:~# openssl s_client -connect deb.froxlor.org:https
CONNECTED(00000003)
depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:0
---
Certificate chain
 0 s:/CN=admin.froxlor.org
   i:/C=US/O=Let's Encrypt/CN=R3
 1 s:/C=US/O=Let's Encrypt/CN=R3
   i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
 2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/CN=admin.froxlor.org
issuer=/C=US/O=Let's Encrypt/CN=R3
---
No client certificate CA names sent
---
SSL handshake has read 5283 bytes and written 483 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 6F69203BDA81B4F0064EE42D9EAC0C9CF50DAC8471BB7C5526622A498934AA43
    Session-ID-ctx:
    Master-Key: F10BAD0F63DB0CFFBBA45D450A6186AA9381EC137EF6E1569F7DAB998A5E02D871B08429B74E772CAC068A83C2BDD554
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 5e de 92 8f 7a 89 5a 65-79 f4 6d 76 4d ca ef 37   ^...z.Zey.mvM..7
    0010 - 7b c2 d2 40 75 44 6e ee-56 f3 b9 a1 02 4e cc ef   {..@uDn.V....N..
    0020 - 45 44 6f a5 aa bf fd 5b-5c f0 e9 05 19 8e 62 be   EDo....[\.....b.
    0030 - 4f 9e 78 1a 31 21 df b8-aa ab 96 0d da 05 3f 45   O.x.1!........?E
    0040 - a1 3f ad 9e c8 48 37 14-53 9b 93 5d 5f 8a 89 ab   .?...H7.S..]_...
    0050 - 46 4c 18 d5 6d 19 1e e4-79 a0 90 c8 e5 89 f4 be   FL..m...y.......
    0060 - ff fe 7a 3e 95 04 9c f1-1e a0 49 0f c4 94 36 43   ..z>......I...6C
    0070 - ac d9 c3 3e 3e 0d 99 2b-48 52 57 21 92 07 5c b2   ...>>..+HRW!..\.
    0080 - 9c f3 87 07 00 3d 94 cb-94 21 0f 11 be 41 98 93   .....=...!...A..
    0090 - 69 ee cb 3a 21 82 6b 1e-4f 31 16 bb 46 1a 45 f8   i..:!.k.O1..F.E.
    00a0 - 1e 00 b5 b2 16 ab 0f a0-a6 8d 35 e2 32 d0 82 df   ..........5.2...
    00b0 - ed 5e 5e 04 8e d4 84 6b-5b 0b 46 43 50 7f 28 0a   .^^....k[.FCP.(.

    Start Time: 1651521005
    Timeout   : 300 (sec)
    Verify return code: 10 (certificate has expired)
---
closed

 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share



×
×
  • Create New...