KeyHelp Community

Das offizielle KeyHelp Forum der Keyweb AG / The official KeyHelp forum of Keyweb AG
https://community.keyhelp.de/

OCSP Stapling errors?

https://community.keyhelp.de/viewtopic.php?t=13928

Page 1 of 1

OCSP Stapling errors?

Posted: Tue 27. May 2025, 13:21
by Ralph
Im /var/log/apache2/error.log finden sich jede Menge OCSP Stapling errors, alle Zertifikate (auch eigene) sind aber OK, LE wird erneuert (manchmal mit error busy oder .well-known URL not found) ist aber nur temp. nach einem manuellen starten des Tasks läuft alles fehlerfrei durch. Also die pems/chains sind alle vorhanden und aktuell, in den Vhosts richtig eingebunden und in der ssl.conf ist SSLUseStapling aktiv.
Was mir aber hier auffällt, es scheint sich bei allen Fehlermeldungen um Erneuerungen zu handeln die noch nicht fällig sind (notbefore/notafter).
Allerdings wird bei all diesen "checks" angezeigt "Unable to configure certificate anydomain.tld:443:0 for stapling"

Code: Select all

[Tue May 27 09:39:33.689335 2025] [ssl:error] [pid 1378894:tid 1378894] AH02604: Unable to configure certificate www.anydomain.tld:443:0 for stapling
[Tue May 27 09:39:33.691298 2025] [ssl:error] [pid 1378894:tid 1378894] AH02218: ssl_stapling_init_cert: no OCSP URI in certificate and no SSLStaplingForceURL set [subject: CN=anydomain.tld / issuer: CN=R11,O=Let's Encrypt,C=US / serial: 05E35777061C79CD66F7786A79CE77B6B2BA / notbefore: May 14 17:02:00 2025 GMT / notafter: Aug 12 17:01:59 2025 GMT]
[Tue May 27 09:39:33.691326 2025] [ssl:error] [pid 1378894:tid 1378894] AH02604: Unable to configure certificate anydomain.tld:443:0 for stapling
Das Problem dabei ist allerdings der OCSP Status:
OCSP response: no response sent

Könnte der Erneuerungs Task bei "nicht fällig" hier irgendwo Probleme machen oder wo könnte ich noch nachschauen?

Code: Select all

# echo | openssl s_client -connect www.anydomain.tld:443 -status

Connecting to 123.123.123.123
CONNECTED(00000003)
depth=2 C=US, O=Internet Security Research Group, CN=ISRG Root X1
verify return:1
depth=1 C=US, O=Let's Encrypt, CN=R11
verify return:1
depth=0 CN=www.anydomain.tld
verify return:1
OCSP response: no response sent
---
Certificate chain
 0 s:CN=www.anydomain.tld
   i:C=US, O=Let's Encrypt, CN=R11
   a:PKEY: RSA, 4096 (bit); sigalg: sha256WithRSAEncryption
   v:NotBefore: May  8 17:02:54 2025 GMT; NotAfter: Aug  6 17:02:53 2025 GMT
 1 s:C=US, O=Let's Encrypt, CN=R11
   i:C=US, O=Internet Security Research Group, CN=ISRG Root X1
   a:PKEY: RSA, 2048 (bit); sigalg: sha256WithRSAEncryption
   v:NotBefore: Mar 13 00:00:00 2024 GMT; NotAfter: Mar 12 23:59:59 2027 GMT
---

Server certificate
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END CERTIFICATE-----

subject=CN=www.anydomain.tld
issuer=C=US, O=Let's Encrypt, CN=R11
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: rsa_pss_rsae_sha256
Peer Temp Key: X25519, 253 bits
---
SSL handshake has read 3655 bytes and written 1642 bytes
Verification: OK
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Protocol: TLSv1.3
Server public key is 4096 bit
This TLS version forbids renegotiation.
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
DONE

Re: OCSP Stapling errors?

Posted: Wed 28. May 2025, 08:48
by Ralph
/etc/ssl/keyhelp/root-ca.crt
Könnte es daran liegen? Ich finde allerdings nur eine sichtbare Verlinkung darauf für webmail-ca.crt ...

Wenn ich das root-ca.crt dekodiere zeigt der common name auf: cert.keyweb.de
Das alte default cert wurde nach der Installation gelöscht und ein neues "default" mit den passenden Details erstellt und die Serverdienste anschliessend neu abgesichert ... das alte /etc/ssl/keyhelp/root-ca.crt bleibt allerdings unverändert erhalten.

https://www.sslchecker.com/certdecoder

Re: OCSP Stapling errors?

Posted: Wed 28. May 2025, 11:58
by Ralph
Hab mir vorhin die Domains mal genau angeschaut, das sind wohl alles nur Weiterleitungen (301/302) die davon betroffen sind ...
Außer bei webmail - da scheint dieses alte root CA (siehe oben) den Fehler zu verursachen:

Code: Select all

[Wed May 28 06:24:59.838171 2025] [ssl:warn] [pid 1378894:tid 1378894] AH01906: webmail:443:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Wed May 28 06:24:59.838241 2025] [ssl:warn] [pid 1378894:tid 1378894] AH01909: webmail:443:0 server certificate does NOT include an ID which matches the server name
[Wed May 28 06:24:59.838693 2025] [ssl:error] [pid 1378894:tid 1378894] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate!
ignorieren?

### edit ###
zu früh gefreut ... die domains mit LE certs ohne Weiterleitung (bis auf eigene certs z.b. positive ssl) zeigen auch ein:
OCSP response: no response sent

Re: OCSP Stapling errors?  [GELÖST]

Posted: Fri 30. May 2025, 12:45
by Daniel
Hi,

ich poste einfach Mal kommentarlos den Beitrag von letsencrypt bzgl. ocsp weil es gerade passend ist
https://letsencrypt.org/2024/12/05/ending-ocsp/

Re: OCSP Stapling errors?

Posted: Fri 30. May 2025, 13:16
by Ralph
Daniel wrote: Fri 30. May 2025, 12:45 Hi,
ich poste einfach Mal kommentarlos den Beitrag von letsencrypt bzgl. ocsp weil es gerade passend ist
https://letsencrypt.org/2024/12/05/ending-ocsp/
Danke, sehr gute Info ... auf die Idee direkt in deren Blog zu suchen bin ich nicht gekommen ;-)
Also d.h. in der ssl.conf bleibt SSLUseStapling weiterhin aktiv für alle "NICHT" LE Certs und im LE Task müsste dann entsprechend der LE stapling Parameter raus ...
All times are UTC+02:00
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited