Probleme mit Speicherauslastungsanzeige und SSL-Stapling-Fehler im KeyHelp

[racmo]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Beide Probleme treten in der KeyHelp-Oberfläche oder in von KeyHelp verwalteten Logs auf.

Server-Betriebssystem + Version
Debian 12.11 (64-bit)

Eingesetzte Server-Virtualisierung-Technologie
Keine

KeyHelp-Version + Build-Nummer
25.0 - Build 3398

Problembeschreibung / Fehlermeldungen
1. Fehlerhafte Speicherauslastungsanzeige im KeyHelp Prozess-Manager:
Im Prozess-Manager wird eine unrealistische Speicherauslastung angezeigt: Verfügbarer Speicher 125,70 GB, Gesamtauslastung 399,84 % mit 502,61 GB, obwohl das System nur 128 GB RAM hat. Die Ursache liegt vermutlich in der Summierung der Resident Memory (RES) von 28 PostgreSQL-Prozessen, die jeweils ~32 GB anzeigen (aufgrund von `shared_buffers = 32GB` in PostgreSQL). Dieser gemeinsame Speicher wird physisch nur einmal allokiert, aber KeyHelp scheint die RES-Werte aller Prozesse zu addieren.

2. SSL-Stapling-Fehler in den Logs:
Seit einigen Tagen erscheint täglich folgender Log-Eintrag:

2025-06-12 06:24:59 AH02604: Unable to configure certificate example.com:443:0 for stapling
2025-06-12 06:24:59 AH02218: ssl_stapling_init_cert: no OCSP URI in certificate and no SSLStaplingForceURL set [subject: CN=example.com / issuer: CN=R11,O=Let's Encrypt,C=US / serial: [anonymisiert] / notbefore: Jun 8 21:01:57 2025 GMT / notafter: Sep 6 21:01:56 2025 GMT]

Erwartetes Ergebnis
1. Der Prozess-Manager sollte den tatsächlichen physischen Speicherverbrauch anzeigen und gemeinsamen Speicher von PostgreSQL korrekt berücksichtigen. Im Dashboard wird z.b. dagegen "Frei: 117,72 GB Belegt: 7,98 GB Gesamt: 125,70 GB" angezeigt.
2. Keine SSL-Stapling-Fehler in den Logs.

Tatsächliches Ergebnis
1. Überhöhte Speicherauslastung im Prozess-Manager von 502,61 GB (399,84 %) wird angezeigt.
2. Täglicher Log-Eintrag über fehlende OCSP-URI und fehlende `SSLStaplingForceURL`.

Schritte zur Reproduktion
1. Speicherauslastung:
- Öffnen Sie den KeyHelp Prozess-Manager.
- Beobachten Sie die angezeigte Speicherauslastung.
2. SSL-Stapling-Fehler:
- Überprüfen Sie die Apache-Logs (z. B. `/var/log/apache2/error.log`) morgens gegen 06:24 Uhr.
- Der Fehler tritt bei einer Domain mit einem Let’s Encrypt-Zertifikat auf.

Zusätzliche Informationen
- Systemdetails:
- Kernel: 6.1.0-37-amd64
- Datenbank-Server: MariaDB 10.11.11, zusätzlich PostgreSQL 17 mit TimescaleDB
- Speicherauslastung:
- PostgreSQL ist mit `shared_buffers = 32GB` konfiguriert.
- SSL-Stapling:
- Der Fehler tritt seit einigen Tagen auf, keine bekannten Änderungen an der Apache- oder Zertifikatskonfiguration.
- Betroffenes Zertifikat stammt von Let’s Encrypt, ausgestellt am 8. Juni 2025.

Vielen Dank für Ihre Unterstützung!

[Alexander]

Hallo

Zu Punkt 1. Das ist im KeyHelp auch so beschreiben. Oben auf der Seite steht:

Hinweise zur Berechnung der Speicherauslastung
Je nachdem, wie man die Werte für die Speichernutzung betrachtet, könnte man meinen, sie seien falsch. Tatsächlich gibt der hier gezeigte Speicherverbrauch an, wie viel Speicher ein Prozess verbrauchen würde, wenn er der einzige auf dem System laufende Prozess wäre. Auf einem typischen Server laufen immer viele Prozesse gleichzeitig und es ist sehr wahrscheinlich, dass sie sich verschiedene Bibliotheken teilen, daher wird ihr Speicherverbrauch mehrfach gezählt.
Obwohl die Werte nicht den tatsächlichen Speicherverbrauch des Servers als Ganzes anzeigen, sollten sie Ihnen dennoch einen Eindruck davon vermitteln, wie die Prozesse den Speicher nutzen.

Zu Punkt 2.)

viewtopic.php?p=54424#p54424

https://letsencrypt.org/2024/12/05/ending-ocsp/

Let's Encrypt Schaltet OCSP Stapling ab. KeyHelp bezieht aber auch keine Zertifikate mit dieser Extension.
Wen es stört könnte in /etc/apache2/mods-available/ssl.conf das SSLUseStapling auf off setzen.
Hier ist aktuell noch keine Entscheidung gefallen, wie in Zukunft damit umgegangen wird.