LiveConfig v2.9.2

  • Hallo,


    ab sofort steht LiveConfig v2.9.2 zur Installation bereit.


    Es handelt sich hierbei um ein ungeplantes Release, daher sind nur relativ wenige Änderungen enthalten (vollständige Liste siehe Changelog).


    Der Grund für dieses kurzfristige Release ist der CAA Rechecking Bug beim SSL-Anbieter Let's Encrypt. Heute Nachmittag (!) hatte Let's Encrypt damit begonnen, Inhaber von betroffenen SSL-Zertifikaten (soweit möglich) per E-Mail darüber zu informieren, dass diese Zertifikate am 04.03.2020 um 00:00 zurückgezogen werden.


    Der Grund für den so kurzfristigen Rückruf sind strenge Vorgaben des Browser-Forums. Let's Encrypt versucht zwar noch etwas mehr Zeit für den Zertifikatsaustausch auszuhandeln (siehe Bugzilla), aber ob das klappt ist derzeit noch nicht absehbar.


    Die Begeisterung über diese gar so kurzfristige Aktion hält sich natürlich in Grenzen, wie man im Let's-Encrypt-Forum verfolgen kann.


    Wir haben die Datenbank mit den betroffenen Zertifikaten (hier) heruntergeladen, die reinen Seriennummern aller 3.048.289 Zertifikate extrahiert und in eine Datenbank geschrieben. Auf http://www.liveconfig.com haben wir eine API eingerichtet, um zu prüfen ob ein Zertifikat betroffen ist.


    LiveConfig v2.9.2 macht nun Folgendes:

    • beim Start von LiveConfig werden alle SSL-Zertifikate, die von Let's Encrypt zwischen dem 04.12.2019 00:00 und dem 29.02.2020 04:00 ausgestellt wurden, speziell markiert (SSLCERTS.SSL_CHECKSTATUS=1)
    • alle paar Minuten werden jeweils bis zu 100 dieser Zertifikate über den Webservice unter https://www.liveconfig.com geprüft - dabei wird lediglich eine JSON-Liste mit den Seriennummern (ohne Domainnamen) übermittelt und ggf. eine Liste mit den betroffenen Seriennummern zurück übermittelt.
      In /var/log/liveconfig/liveconfig.log sieht das dann so aus:

      Code
      Checking SSL CA reissue status for 100 certificates...


    • Alle ggf. betroffenen Zertifikate werden anschließend automatisch neu beantragt (SSL_CHECKSTATUS wird dann auf "3" geändert). Alle nicht betroffenen Zertifikate erhalten SSL_CHECKSTATUS=2
    • Nach wenigen Minuten sollte der Spuk somit vorbei sein.


    Es sind wohl rund 2,6% aller Zertifikate betroffenen - unseren ersten Tests nach sieht das plausibel aus.


    Sollten Fragen oder Probleme auftauchen melden Sie sich bitte einfach.


    Viele Grüße


    -Klaus Keppler

  • Nach dem Update des Liveconfig Servers startet Liveconfig nicht mehr:


    Code
    Mär 03 21:40:07 liveconfig liveconfig[3792]:  - /usr/sbin/liveconfig: LiveConfig 2.9.2-release starting...
    Mär 03 21:40:07 liveconfig liveconfig[3792]:  - /usr/sbin/liveconfig: Database driver loaded: MySQL (10.4.3)
    Mär 03 21:40:07 liveconfig liveconfig[3792]:  - /usr/sbin/liveconfig: Upgrading database schema (r209021 -> 2.9.2-2)
    Mär 03 21:40:07 liveconfig liveconfig[3792]:  - /usr/sbin/liveconfig: Database connection failed: Duplicate column name 'SSL_CHECKSTATUS'
    Mär 03 21:40:07 liveconfig liveconfig[3792]:  - /usr/sbin/liveconfig: Closing log file
    Mär 03 21:40:07 liveconfig systemd[1]: liveconfig.service: Control process exited, code=exited status=1
    Mär 03 21:40:07 liveconfig systemd[1]: Failed to start LiveConfig Control Panel.
    Mär 03 21:40:07 liveconfig systemd[1]: liveconfig.service: Unit entered failed state.
    Mär 03 21:40:07 liveconfig systemd[1]: liveconfig.service: Failed with result 'exit-code'.
  • und noch das Liveconfig.log


  • Weil uns diese Frage inzwischen schon öfter erreicht hat:
    es sind nicht alle Let's-Encrypt-Zertifikate betroffen, die in dem o.g. Zeitraum ausgestellt wurden.
    Es betrifft nur die Fälle, in denen die CAA-Prüfung für die Domains älter als 8 Stunden waren - meistens also bei Zertifikaten die (unnötigerweise) in sehr kurzen Intervallen verlängert wurden.

  • Code
    [2020/03/03 21:39:40.928042] [1531|1531] Upgrading database schema (r209021 -> 2.9.2-2)
    [2020/03/03 21:39:41.826993] [1531|1531] Database connection failed: Table 'SSLCERTS' is specified twice, both as a target for 'UPDATE' and as a separate source for data


    Oha. Dürfte mit MySQL zusammenhängen - wir prüfen das sofort.
    Welche MySQL-Version genau setzen Sie ein? Und wissen Sie, ob diese im "strict mode" läuft?

  • Danke für die Rückmeldungen - Fehler ist gefunden und behoben. In unserer Testumgebung hatte die Schemaänderung funktioniert, mit älteren MySQL/MariaDB klappt's offenbar nicht.
    Update (v2.9.3-release) wird eben gebaut und steht in ca. 20 Minuten online. Ich gebe dann noch mal Bescheid.

  • Version 2.9.3 steht ab sofort zur Installation bereit.


    Diese behebt einen Fehler aufgrund dessen v2.9.2 mit MySQL-Backend nicht starten konnte.
    Ansonsten gibt's keine Änderungen (wer also SQLite nutzt braucht dieses Update nicht einspielen).


    Bitte entschuldigt die Unannehmlichkeiten.


    Viele Grüße


    -Klaus Keppler

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!