SSL Corrupt files detected [GELÖST]

[mhagge]

Ich hab hier ein Problem mit dem LetsEncrypt-SSL-Zertifikat für eine Domain. Und zwar kommt seit ein paar Tagen jeden Morgen die Meldung:

Bei der routinemäßigen Überprüfung der SSL/TLS-Zertifikate traten folgende Probleme auf:

------------
Certificate name: xxxxxx.net (Let's Encrypt)
Valid until: 2019-12-02 22:01:05 (17 day(s) left)
Message: Corrupt files detected.
------------

(Domain habe ich ausgexxt)

Ich habe daraufhin gestern mal die SSL-Einstellungen der Domain auf "keine" gestellt, abgewartet bis das wieder ohne "SSL" angezeigt wurde und dann erneut das LE-Zertifikat angekreutz.

Das muss insoweit auch geklappt haben, als dass der SSLTest jetzt ein Gültigkeitsdatum für das Zertifikat bis 2.2.20 anzeigt.

Heute morgen kam aber wieder obenstehende Meldung (obwohl das Zertifikat doch eigentlich ein erneuertes Gültigkeitsdatum hat...

Kann das sein, dass da irgendwie 2 Zertifikate für die Domain abgeleget sind. Ein gültiges, valides und eins, wo die Zertifikatsdatei aus welchem Grund auch immer defekt ist? Kann man das gefahrlos löschen (und wenn ja wo?)

[stfn116]

Zertifikate liegen unter

Code: Select all

/etc/ssl/keyhelp/letsencrypt/USERNAME/domain.tld

ich würde es mal mit dem löschen des Eintrags probieren, aber mach vorher von den alten Dateien einen Backup.
Sind die anderen Cronjobs erfolgreich durchgelaufen?

[Alexander]

Grüße,

Für jede Domain und Subdomain existiert aktuell (noch) ein eigenes Zertifikat.
Wenn auf dem Server test.com und www.test.com existieren und du für beide ein Let's Encrypt Zertifikat beantragt hast, dann existieren 2 Zertifikate.

Vermutung, da geXXt : "test.com" hat jetzt vielleicht ein neues Datum bekommen, in der Email ist aber die Rede von "www.test.com".
Wenn du über den Adminbereich gehst, lass dir mal über die Ansichtsoptionen auch die Subdomains anzeigen, dann solltest du es besser sehen, dass die Let's Encrypt Option für die www.test.com noch hinterlegt ist.

Gesetzt den Fall es wäre so, dann existiert für die in der Email genannte Domain noch ein Zertifikat mit 17 Tagen Gültigkeit. Dies solltest du also nicht löschen, da es noch gültig ist. Beim beantragen des neuen Zertifikats wurden die neu-heruntergeladenen Zertifikate als korrupt erkannt und anschließend automatisch wieder verworfen, du brauchst also eigentlich gar nichts löschen.

Wenn du trotzdem wissen möchtest, wo KeyHelp die Zertifikate ablegt (stfn116 war schneller ):

Code: Select all

/etc/ssl/keyhelp/letsencrypt/<USERNAME>/<DOMAIN>

Und wenn du selbst "dabei sein" möchtest, wenn die Zertifikate besorgt werden:

Code: Select all

php /home/keyhelp/www/keyhelp/cronjob/mastercronjob.php --force-ssl-maintenance

[mhagge]

Tatsächlich, www und "nicht"-www haben unterschiedliche Daten. www ist ok, "nicht"-www ist das mit den kaputten Dateien

Ich hab das ganze mal mit

php /home/keyhelp/www/keyhelp/cronjob/mastercronjob.php --force-ssl-maintenance

manuell gestartet. Nun kommt eine Meldung zurück:

Certificate name: xxxxx.net (Let's Encrypt)
Valid until: 2019-12-02 22:01:05 (17 day(s) left)
Message: Failed to receive order details. Response: {"type":"urn:ietf:params:acme:error:rateLimited","detail":"Error creating new order :: too many certificates already issued for exact set of domains: websozicms.net: see https:\/\/letsencrypt.org\/docs\/rate-limits\/","status":429}

Hmm - das verstehe ich nun gar nicht. Ausser meinen einen manuellen Versuch von gestern (das könnte ich in der Tat auch nicht beschwören, dass ich das evtl. versehentlich nur für "www" gemacht habe und nicht Domain + alle Sub-Domains) habe ich da weiter nichts angefordert - wieso also RateLimit?

Momentan sollte ich da also besser nichts löschen, weil ich dann wohl nichts neues anfordern kann

[OlliTheDarkness]

Auch wenn es unwahrscheinlich klingt, scheinst echt das RateLimit geknackt zu haben.

Mal eine Vermutung... kann es sein das die anderen (Sub)Domains alle in etwa das selbe Ablaufdatum hatten und sich alle erneuert haben

Is nur so ein Gedankenspiel, wobei du dann SEHR viele (Sub)Domains laufen haben musst dass ins RL rennst.

[Jolinar]

wieso also RateLimit?

Da gäbe es einige Möglichkeiten:

Limits der Live-Umgebung von Let's Encrypt:

• 50 Zertifikate pro registrierte Domain pro Woche
• 5 Doppelte Zertifikate pro Woche
• 5 Fehlgeschlagene Validierungen pro Stunde
• 10 Konten pro IP-Adresse pro 3 Stunden Periode
• 500 Konten pro IP-Bereich mit einem IPv6 /48 pro 3 Stunden Periode
• 300 Ausstehende Autorisierungen pro Konto
• 300 neue Aufträge pro 3 Stunden Periode pro Konto (Für ACME v2)

Also einfach die Logfiles für die entsprechenden Zeiträume durchgreppen und dann weißt du auch, welches Limit du erreicht hast.

[ShortSnow]

Hi,

https://crt.sh/?q=websozicms.net

da sind einige Anfragen/Zertifikate in kurzer Zeit aufgelaufen.

Gruß Arne

[mhagge]

Danke Euch!

Hmmm.. Die Domain ist "nur" eine Weiterleitung und hat (ausser www) auch weiter keine Sub-Domains. Manuell ausgelöst habe ich wie gesagt auch nur ein einziges mal (und ich vermute in der Tat auch nur für die www Sub-Domain, die hat ja auch ein späteres Ablaufdatum und wird auch nicht "bemeckert"). Der Rest der Anforderungen muss von Keyhelp stammen (auf dem Server ist nichtmal ein manueller Certbot installiert, der da evtl. ja auch zwischenfunken könnte)

Nun ist das ganze hier nicht so dramatisch, selbst ohne SSL könnte ich leben - ist wie gesgat eigentlich nur eine auf Vorrat gesicherte Domain mit Weiterleitung, die wird sonst nirgends aktiv genutzt / kommuniziert.

Aber irgendwie wissen was da los ist würde ich ja schon gerne, alleine schon falls das mal mit einer wichtigeren Domain passiert

[Alexander]

Wenn Zertifikate aktualisiert/beantragt werden steht das entweder hier:

Protokolle -> update.log (wenn für eine Domain ein Let's Encrypt Zertifikat initial beantragt wird)
Protokolle -> ssl-maintenance.log (wenn Zertifikate aufgrund näher rückendem Ablaufdatum verlängert werden, bzw. neu beantragt werden, da sie auf Dateiebene nicht mehr existieren)

Dein Problem sollte sich am Montag wahrscheinlich schon von alleine lösen, wenn der Server aus dem Rate-limit draußen ist und dann der ssl-maintenance job das automatische verlängern triggert.

[Jolinar]

wenn für eine Domain ein Let's Encrypt Zertifikat initial beantragt wird

Sollte das nicht der Vollständigkeit halber auch in der ssl-maintenance.log geloggt werden...?

[Alexander]

wenn für eine Domain ein Let's Encrypt Zertifikat initial beantragt wird

Sollte das nicht der Vollständigkeit halber auch in der ssl-maintenance.log geloggt werden...?

Jedes unter "Protokolle" ausgeführte Protokoll loggt nur den Job (Wartungsintervalle), dessen Namen er trägt. Jeder Job wird als eigener Prozess ausgeführt. Sie interagieren nicht miteinander (höchstens indirekt über ggf. aktualisierte Einstellungen in der KeyHelp Datenbank o.Ä.). Sie laufen darüber hinaus auch zu unterschiedlichen Zeiten.

Der "Update" Job wird i.d.R. jede Minute aufgerufen und arbeitet die vom User getriggerten Aufgaben ab, er schreibt in den update.log
Der "SSL/TLS Maintenance" Job wird im eingestellten Wartungsintervall aufgerufen - ohne vorangegangene Benutzer Interaktion und erhält die ordnungsgemäße Funktion der Let's Encrypt Zertifikate.

Aber du hast natürlich recht, ein Log für alle LE Interaktionen wäre schon übersichtlicher - widerspricht aber der Funktionsweise (im Code) der anderen Wartungsinterval-Logs, von daher bin ich o.g. Weg gegangen.

[mhagge]

Vielen Dank an alle!

Ich warte mal bis Montag, mal sehen was passiert

[Jolinar]

...von daher bin ich o.g. Weg gegangen.

Danke für die ausführliche Erklärung.