LE cert renewal - JWS has an invalid anti-replay nonce

Ralph · Post by **Ralph** » Mon 24. Jun 2024, 18:56

kennt das jemand?

Failed to aquire a Let's Encrypt certificate for domain.tld.
Verification ended with an error.
Details: JWS has an invalid anti-replay nonce: "WDMSYcqSZ-TIMTlMntC5ON5qd0w3vUOAX2inr3wTWNqvjfsrUyA"
Type: urn:ietf:params:acme:error:badNonce
Full response: {"type":"urn:ietf:params:acme:error:badNonce","detail":"JWS has an invalid anti-replay nonce: \"WDMSYcqSZ-TIMTlMntC5ON5qd0w3vUOAX2inr3wTWNqvjfsrUyA\"","status":400}

das cert ist noch gültig bis 23. Juli, im event log zeigt KH einen Fehler ...
könnte es sein das der renewal Task (versuch) zu früh ausgeführt wurde?

Code: Select all

Allgemeiner Name (CN)	R3
Organisation (O)	Let's Encrypt
Organisationseinheit (OU)	<Gehört nicht zum Zertifikat>
Ausgestellt am	Mittwoch, 24. April 2024 um 10:41:15
Gültig bis	Dienstag, 23. Juli 2024 um 10:41:14
Zertifikat	559d1f68311419cd89b316ff6a9aba09035a20e0765592186349cb1e4ea799da
Öffentlicher Schlüssel	c940bd781118cc13541a7f5ce583b591213dc21e74c25cd6a8e7038664cb7e2c

Post by **Jolinar** » Mon 24. Jun 2024, 19:07

Code: Select all

JWS has an invalid anti-replay nonce: "WDMSYcqSZ-TIMTlMntC5ON5qd0w3vUOAX2inr3wTWNqvjfsrUyA"

Der Nonce wurde schon einmal verwendet, deswegen der Fehler.
Möglicherweise dauerte die Anfrage bei LE auch zu lange und wurde deswegen abgebrochen.

Was passiert, wenn du den Cert Cron manuell anschubst (normalerweise sollte der Nonce dann neu erstellt werden)?

24unix · Post by **24unix** » Mon 24. Jun 2024, 19:22

Die Nonce hat eine sehr begrenzte Lebensdauer, aber sollte schon lange genug gültig sein.

Der erste Treffer bei Google führt zu einem Thread, beim dem die ein Problem bei den IPv6 Adressen vermuten.

Bei Dir gehe ich einfach mal davon aus, dass Du bei einem Server keine Privacy Extensions verwendest.

Auf jeden Fall wird aber die IP zur Generierung der Nonce herangezogen.

Benutzt Du EUI-64 oder SLAAC zur Konfig der Adressen?

Ralph · Post by **Ralph** » Mon 24. Jun 2024, 19:32

beim manuellen ausführen des Tasks erscheint keine Fehlermeldung mehr

Code: Select all

Maintenance task ssl-maintenance (#8) triggered.
SNI configuration updated.

Habe das bisher noch nie auf einem KH System gesehen, läuft ja schon einige Zeit auch mit IP6 ...
Ich tippe auch eher auf ein kurzfristiges Verbindungsproblem Seitens LE

----
P.S.
Momantan ist aber auch fast überall der Wurm drin

Ubuntu kommt mir nuh auch nicht mehr in die Tüte, schon gelesen?
https://bugs.launchpad.net/ubuntu/+sour ... ug/2055114

https://support.plesk.com/hc/en-us/arti ... d-asynchat

24unix · Post by **24unix** » Mon 24. Jun 2024, 19:38

Ralph wrote: ↑Mon 24. Jun 2024, 19:32 beim manuellen ausführen des Tasks erscheint keine Fehlermeldung mehr
Code: Select all
Maintenance task ssl-maintenance (#8) triggered.
SNI configuration updated.
Habe das bisher noch nie auf einem KH System gesehen, läuft ja schon einige Zeit auch mit IP6 ...
Ich tippe auch eher auf ein kurzfristiges Verbindungsproblem Seitens LE

----
P.S.
Momantan ist aber auch fast überall der Wurm drin
Ubuntu kommt mir nuh auch nicht mehr in die Tüte, schon gelesen?
https://bugs.launchpad.net/ubuntu/+sour ... ug/2055114

https://support.plesk.com/hc/en-us/arti ... d-asynchat

Ich wüsste eh keinen Grund, warum man Ubuntu nehmen sollte, ausser man nutzt es auf dem Desktop auch.

Ich habe es auf einer Kiste, weil ich MySQL brauche, und es dafür keine Arm64 Pakete bei Debian gibt.

Root reparieren, snapd löschen, und es ist wie ein normales Debian

Post by **Jolinar** » Mon 24. Jun 2024, 19:41

Ralph wrote: ↑Mon 24. Jun 2024, 19:32 Ubuntu kommt mir nuh auch nicht mehr in die Tüte

Jaja...ich weiß schon, warum ich damit nix zu tun haben will (auch wenn meine Beweggründe eher mit Canonical selbst zu tun haben^^).
Aber schön, daß du lernfähig bist

Ralph · Post by **Ralph** » Mon 24. Jun 2024, 19:46

Ich sehe das genau so, furchtbar ... da lässt man besser ganz die Finger weg

Ein Kundenwunsch sollte damit erfüllt werden ...

Post by **Jolinar** » Mon 24. Jun 2024, 19:48

Ralph wrote: ↑Mon 24. Jun 2024, 19:46 Ein Kundenwunsch sollte damit erfüllt werden ...

Verwende Debian und fälsche die Ausgabe bei der Abfrage des OS

24unix wrote: ↑Mon 24. Jun 2024, 19:38 Ich habe es auf einer Kiste, weil ich MySQL brauche, und es dafür keine Arm64 Pakete bei Debian gibt.

Warum nimmst du nicht trotzdem Debian und ziehst dir das MySQL Paket aus einem Ubuntu Repo?

Ralph · Post by **Ralph** » Mon 24. Jun 2024, 20:02

Jolinar wrote: ↑Mon 24. Jun 2024, 19:48 Warum nimmst du nicht trotzdem Debian und ziehst dir das MySQL Paket aus einem Ubuntu Repo?

Genau, werde ich dem Herrn dann mal mit Nachdruck vorschlagen

So ein Gefummel via PIP und später passt wieder nichts richtig zusammen ...

Die Releases werden derweil auf Teufel komm raus viel zu früh als stable rausgehauen ohne vorher mal ordentlich zu testen
Jetz hab ich mich aber wieder in Rage geredet ...

24unix · Post by **24unix** » Mon 24. Jun 2024, 20:12

Jolinar wrote: ↑Mon 24. Jun 2024, 19:48
Ralph wrote: ↑Mon 24. Jun 2024, 19:46 Ein Kundenwunsch sollte damit erfüllt werden ...
Verwende Debian und fälsche die Ausgabe bei der Abfrage des OS

24unix wrote: ↑Mon 24. Jun 2024, 19:38 Ich habe es auf einer Kiste, weil ich MySQL brauche, und es dafür keine Arm64 Pakete bei Debian gibt.
Warum nimmst du nicht trotzdem Debian und ziehst dir das MySQL Paket aus einem Ubuntu Repo?

Ja, warum mache ich das nicht?

Code: Select all

❯ ldd /usr/sbin/mysqld
	linux-vdso.so.1 (0x00007fff6f5b8000)
	libpcre2-8.so.0 => /lib/x86_64-linux-gnu/libpcre2-8.so.0 (0x00007f9099566000)
	libcrypt.so.1 => /lib/x86_64-linux-gnu/libcrypt.so.1 (0x00007f909b7b1000)
	liburing.so.2 => /lib/x86_64-linux-gnu/liburing.so.2 (0x00007f909b7aa000)
	libpmem.so.1 => /lib/x86_64-linux-gnu/libpmem.so.1 (0x00007f9099511000)
	libnuma.so.1 => /lib/x86_64-linux-gnu/libnuma.so.1 (0x00007f909b79d000)
	libsystemd.so.0 => /lib/x86_64-linux-gnu/libsystemd.so.0 (0x00007f9099441000)
	libz.so.1 => /lib/x86_64-linux-gnu/libz.so.1 (0x00007f909b77c000)
	libssl.so.3 => /lib/x86_64-linux-gnu/libssl.so.3 (0x00007f9099397000)
	libcrypto.so.3 => /lib/x86_64-linux-gnu/libcrypto.so.3 (0x00007f9098e00000)
	libstdc++.so.6 => /lib/x86_64-linux-gnu/libstdc++.so.6 (0x00007f9098a00000)
	libm.so.6 => /lib/x86_64-linux-gnu/libm.so.6 (0x00007f90992b8000)
	libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f9098c1f000)
	/lib64/ld-linux-x86-64.so.2 (0x00007f909b7f8000)
	libndctl.so.6 => /lib/x86_64-linux-gnu/libndctl.so.6 (0x00007f909928c000)
	libdaxctl.so.1 => /lib/x86_64-linux-gnu/libdaxctl.so.1 (0x00007f90989f3000)
	libcap.so.2 => /lib/x86_64-linux-gnu/libcap.so.2 (0x00007f90989e7000)
	libgcrypt.so.20 => /lib/x86_64-linux-gnu/libgcrypt.so.20 (0x00007f90988a0000)
	liblzma.so.5 => /lib/x86_64-linux-gnu/liblzma.so.5 (0x00007f9098871000)
	libzstd.so.1 => /lib/x86_64-linux-gnu/libzstd.so.1 (0x00007f90987b5000)
	liblz4.so.1 => /lib/x86_64-linux-gnu/liblz4.so.1 (0x00007f909878f000)
	libgcc_s.so.1 => /lib/x86_64-linux-gnu/libgcc_s.so.1 (0x00007f909876f000)
	libudev.so.1 => /lib/x86_64-linux-gnu/libudev.so.1 (0x00007f9098741000)
	libuuid.so.1 => /lib/x86_64-linux-gnu/libuuid.so.1 (0x00007f9099282000)
	libkmod.so.2 => /lib/x86_64-linux-gnu/libkmod.so.2 (0x00007f9098724000)
	libgpg-error.so.0 => /lib/x86_64-linux-gnu/libgpg-error.so.0 (0x00007f90986fc000)

Code: Select all

❯ ldd /usr/sbin/mysqld
	linux-vdso.so.1 (0x0000e5249fef9000)
	libicuuc.so.74 => /lib/aarch64-linux-gnu/libicuuc.so.74 (0x0000e5249c200000)
	libicui18n.so.74 => /lib/aarch64-linux-gnu/libicui18n.so.74 (0x0000e5249be00000)
	libevent_core-2.1.so.7 => /lib/aarch64-linux-gnu/libevent_core-2.1.so.7 (0x0000e5249c5a0000)
	libevent_pthreads-2.1.so.7 => /lib/aarch64-linux-gnu/libevent_pthreads-2.1.so.7 (0x0000e5249c570000)
	libssl.so.3 => /lib/aarch64-linux-gnu/libssl.so.3 (0x0000e5249c4a0000)
	libcrypto.so.3 => /lib/aarch64-linux-gnu/libcrypto.so.3 (0x0000e5249b800000)
	libzstd.so.1 => /lib/aarch64-linux-gnu/libzstd.so.1 (0x0000e5249bd40000)
	libprotobuf-lite.so.32 => /lib/aarch64-linux-gnu/libprotobuf-lite.so.32 (0x0000e5249b710000)
	libz.so.1 => /lib/aarch64-linux-gnu/libz.so.1 (0x0000e5249c460000)
	liblz4.so.1 => /lib/aarch64-linux-gnu/liblz4.so.1 (0x0000e5249c1c0000)
	libaio.so.1t64 => /lib/aarch64-linux-gnu/libaio.so.1t64 (0x0000e5249c190000)
	libnuma.so.1 => /lib/aarch64-linux-gnu/libnuma.so.1 (0x0000e5249bd10000)
	libstdc++.so.6 => /lib/aarch64-linux-gnu/libstdc++.so.6 (0x0000e5249b400000)
	libm.so.6 => /lib/aarch64-linux-gnu/libm.so.6 (0x0000e5249b350000)
	libgcc_s.so.1 => /lib/aarch64-linux-gnu/libgcc_s.so.1 (0x0000e5249bcd0000)
	libc.so.6 => /lib/aarch64-linux-gnu/libc.so.6 (0x0000e5249b190000)
	/lib/ld-linux-aarch64.so.1 (0x0000e5249febc000)
	libicudata.so.74 => /lib/aarch64-linux-gnu/libicudata.so.74 (0x0000e52499400000)

Code: Select all

❯ diff debian.txt ubuntu.txt
2,27c2,20
< 	linux-vdso.so.1 (0x00007fff6f5b8000)
< 	libpcre2-8.so.0 => /lib/x86_64-linux-gnu/libpcre2-8.so.0 (0x00007f9099566000)
< 	libcrypt.so.1 => /lib/x86_64-linux-gnu/libcrypt.so.1 (0x00007f909b7b1000)
< 	liburing.so.2 => /lib/x86_64-linux-gnu/liburing.so.2 (0x00007f909b7aa000)
< 	libpmem.so.1 => /lib/x86_64-linux-gnu/libpmem.so.1 (0x00007f9099511000)
< 	libnuma.so.1 => /lib/x86_64-linux-gnu/libnuma.so.1 (0x00007f909b79d000)
< 	libsystemd.so.0 => /lib/x86_64-linux-gnu/libsystemd.so.0 (0x00007f9099441000)
< 	libz.so.1 => /lib/x86_64-linux-gnu/libz.so.1 (0x00007f909b77c000)
< 	libssl.so.3 => /lib/x86_64-linux-gnu/libssl.so.3 (0x00007f9099397000)
< 	libcrypto.so.3 => /lib/x86_64-linux-gnu/libcrypto.so.3 (0x00007f9098e00000)
< 	libstdc++.so.6 => /lib/x86_64-linux-gnu/libstdc++.so.6 (0x00007f9098a00000)
< 	libm.so.6 => /lib/x86_64-linux-gnu/libm.so.6 (0x00007f90992b8000)
< 	libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f9098c1f000)
< 	/lib64/ld-linux-x86-64.so.2 (0x00007f909b7f8000)
< 	libndctl.so.6 => /lib/x86_64-linux-gnu/libndctl.so.6 (0x00007f909928c000)
< 	libdaxctl.so.1 => /lib/x86_64-linux-gnu/libdaxctl.so.1 (0x00007f90989f3000)
< 	libcap.so.2 => /lib/x86_64-linux-gnu/libcap.so.2 (0x00007f90989e7000)
< 	libgcrypt.so.20 => /lib/x86_64-linux-gnu/libgcrypt.so.20 (0x00007f90988a0000)
< 	liblzma.so.5 => /lib/x86_64-linux-gnu/liblzma.so.5 (0x00007f9098871000)
< 	libzstd.so.1 => /lib/x86_64-linux-gnu/libzstd.so.1 (0x00007f90987b5000)
< 	liblz4.so.1 => /lib/x86_64-linux-gnu/liblz4.so.1 (0x00007f909878f000)
< 	libgcc_s.so.1 => /lib/x86_64-linux-gnu/libgcc_s.so.1 (0x00007f909876f000)
< 	libudev.so.1 => /lib/x86_64-linux-gnu/libudev.so.1 (0x00007f9098741000)
< 	libuuid.so.1 => /lib/x86_64-linux-gnu/libuuid.so.1 (0x00007f9099282000)
< 	libkmod.so.2 => /lib/x86_64-linux-gnu/libkmod.so.2 (0x00007f9098724000)
< 	libgpg-error.so.0 => /lib/x86_64-linux-gnu/libgpg-error.so.0 (0x00007f90986fc000)
---
> 	linux-vdso.so.1 (0x0000e5249fef9000)
> 	libicuuc.so.74 => /lib/aarch64-linux-gnu/libicuuc.so.74 (0x0000e5249c200000)
> 	libicui18n.so.74 => /lib/aarch64-linux-gnu/libicui18n.so.74 (0x0000e5249be00000)
> 	libevent_core-2.1.so.7 => /lib/aarch64-linux-gnu/libevent_core-2.1.so.7 (0x0000e5249c5a0000)
> 	libevent_pthreads-2.1.so.7 => /lib/aarch64-linux-gnu/libevent_pthreads-2.1.so.7 (0x0000e5249c570000)
> 	libssl.so.3 => /lib/aarch64-linux-gnu/libssl.so.3 (0x0000e5249c4a0000)
> 	libcrypto.so.3 => /lib/aarch64-linux-gnu/libcrypto.so.3 (0x0000e5249b800000)
> 	libzstd.so.1 => /lib/aarch64-linux-gnu/libzstd.so.1 (0x0000e5249bd40000)
> 	libprotobuf-lite.so.32 => /lib/aarch64-linux-gnu/libprotobuf-lite.so.32 (0x0000e5249b710000)
> 	libz.so.1 => /lib/aarch64-linux-gnu/libz.so.1 (0x0000e5249c460000)
> 	liblz4.so.1 => /lib/aarch64-linux-gnu/liblz4.so.1 (0x0000e5249c1c0000)
> 	libaio.so.1t64 => /lib/aarch64-linux-gnu/libaio.so.1t64 (0x0000e5249c190000)
> 	libnuma.so.1 => /lib/aarch64-linux-gnu/libnuma.so.1 (0x0000e5249bd10000)
> 	libstdc++.so.6 => /lib/aarch64-linux-gnu/libstdc++.so.6 (0x0000e5249b400000)
> 	libm.so.6 => /lib/aarch64-linux-gnu/libm.so.6 (0x0000e5249b350000)
> 	libgcc_s.so.1 => /lib/aarch64-linux-gnu/libgcc_s.so.1 (0x0000e5249bcd0000)
> 	libc.so.6 => /lib/aarch64-linux-gnu/libc.so.6 (0x0000e5249b190000)
> 	/lib/ld-linux-aarch64.so.1 (0x0000e5249febc000)
> 	libicudata.so.74 => /lib/aarch64-linux-gnu/libicudata.so.74 (0x0000e52499400000)

Da sie unterschiedliche Versionen releasen wird das nicht "so eben" mal was, das habe ich lieber diese Laus im Pelz.

Post by **Jolinar** » Mon 24. Jun 2024, 20:18

Und das ist der Grund, warum ich mich von ARM (im Moment noch) fernhalte...Alles noch nicht wirklich ausgereift

24unix · Post by **24unix** » Mon 24. Jun 2024, 20:25

Jolinar wrote: ↑Mon 24. Jun 2024, 20:18 Und das ist der Grund, warum ich mich von ARM (im Moment noch) fernhalte...Alles noch nicht wirklich ausgereift

Merkwürdige Schlussfolgerung.

Den Raspi gibt es seit 2012.

Debian funktioniert einwandfrei auf dem RasPi, einzig, Oracle hat keine aarm64 binaries für MySQL.

Und wir haben exakt eine Query, die verhindert, MariaDb zu nutzen.

Code: Select all

This is caused by one SQL-Query:
Debian Bullseye, MariaDB server 10.5
[..]
1 row in set (5 min 15.626 sec)

Ubuntu Focal Fossa:
[..}
1 row in set (0.02 sec)

LE cert renewal - JWS has an invalid anti-replay nonce

LE cert renewal - JWS has an invalid anti-replay nonce

Re: LE cert renewal - JWS has an invalid anti-replay nonce

Re: LE cert renewal - JWS has an invalid anti-replay nonce

Re: LE cert renewal - JWS has an invalid anti-replay nonce

Re: LE cert renewal - JWS has an invalid anti-replay nonce

Re: LE cert renewal - JWS has an invalid anti-replay nonce

Re: LE cert renewal - JWS has an invalid anti-replay nonce

Re: LE cert renewal - JWS has an invalid anti-replay nonce

Re: LE cert renewal - JWS has an invalid anti-replay nonce

Re: LE cert renewal - JWS has an invalid anti-replay nonce

Re: LE cert renewal - JWS has an invalid anti-replay nonce

Re: LE cert renewal - JWS has an invalid anti-replay nonce