LiveConfig v2.9.2

kk · 3. März 2020

Hallo,

ab sofort steht LiveConfig v2.9.2 zur Installation bereit.

Es handelt sich hierbei um ein ungeplantes Release, daher sind nur relativ wenige Änderungen enthalten (vollständige Liste siehe Changelog).

Der Grund für dieses kurzfristige Release ist der CAA Rechecking Bug beim SSL-Anbieter Let's Encrypt. Heute Nachmittag (!) hatte Let's Encrypt damit begonnen, Inhaber von betroffenen SSL-Zertifikaten (soweit möglich) per E-Mail darüber zu informieren, dass diese Zertifikate am 04.03.2020 um 00:00 zurückgezogen werden.

Der Grund für den so kurzfristigen Rückruf sind strenge Vorgaben des Browser-Forums. Let's Encrypt versucht zwar noch etwas mehr Zeit für den Zertifikatsaustausch auszuhandeln (siehe Bugzilla), aber ob das klappt ist derzeit noch nicht absehbar.

Die Begeisterung über diese gar so kurzfristige Aktion hält sich natürlich in Grenzen, wie man im Let's-Encrypt-Forum verfolgen kann.

Wir haben die Datenbank mit den betroffenen Zertifikaten (hier) heruntergeladen, die reinen Seriennummern aller 3.048.289 Zertifikate extrahiert und in eine Datenbank geschrieben. Auf http://www.liveconfig.com haben wir eine API eingerichtet, um zu prüfen ob ein Zertifikat betroffen ist.

LiveConfig v2.9.2 macht nun Folgendes:

beim Start von LiveConfig werden alle SSL-Zertifikate, die von Let's Encrypt zwischen dem 04.12.2019 00:00 und dem 29.02.2020 04:00 ausgestellt wurden, speziell markiert (SSLCERTS.SSL_CHECKSTATUS=1)
alle paar Minuten werden jeweils bis zu 100 dieser Zertifikate über den Webservice unter https://www.liveconfig.com geprüft - dabei wird lediglich eine JSON-Liste mit den Seriennummern (ohne Domainnamen) übermittelt und ggf. eine Liste mit den betroffenen Seriennummern zurück übermittelt.
In /var/log/liveconfig/liveconfig.log sieht das dann so aus:
Code
```
Checking SSL CA reissue status for 100 certificates...
```
Alle ggf. betroffenen Zertifikate werden anschließend automatisch neu beantragt (SSL_CHECKSTATUS wird dann auf "3" geändert). Alle nicht betroffenen Zertifikate erhalten SSL_CHECKSTATUS=2
Nach wenigen Minuten sollte der Spuk somit vorbei sein.

Es sind wohl rund 2,6% aller Zertifikate betroffenen - unseren ersten Tests nach sieht das plausibel aus.

Sollten Fragen oder Probleme auftauchen melden Sie sich bitte einfach.

Viele Grüße

-Klaus Keppler

bfal · 3. März 2020

Nach dem Update des Liveconfig Servers startet Liveconfig nicht mehr:

Code

Mär 03 21:40:07 liveconfig liveconfig[3792]:  - /usr/sbin/liveconfig: LiveConfig 2.9.2-release starting...
Mär 03 21:40:07 liveconfig liveconfig[3792]:  - /usr/sbin/liveconfig: Database driver loaded: MySQL (10.4.3)
Mär 03 21:40:07 liveconfig liveconfig[3792]:  - /usr/sbin/liveconfig: Upgrading database schema (r209021 -> 2.9.2-2)
Mär 03 21:40:07 liveconfig liveconfig[3792]:  - /usr/sbin/liveconfig: Database connection failed: Duplicate column name 'SSL_CHECKSTATUS'
Mär 03 21:40:07 liveconfig liveconfig[3792]:  - /usr/sbin/liveconfig: Closing log file
Mär 03 21:40:07 liveconfig systemd[1]: liveconfig.service: Control process exited, code=exited status=1
Mär 03 21:40:07 liveconfig systemd[1]: Failed to start LiveConfig Control Panel.
Mär 03 21:40:07 liveconfig systemd[1]: liveconfig.service: Unit entered failed state.
Mär 03 21:40:07 liveconfig systemd[1]: liveconfig.service: Failed with result 'exit-code'.

bfal · 3. März 2020

und noch das Liveconfig.log

Code

[2020/03/03 21:39:39.980195] [1531|1531] LiveConfig 2.9.2-release starting...
[2020/03/03 21:39:39.980451] [1531|1531] Database driver loaded: MySQL (10.4.3)
[2020/03/03 21:39:39.985211] [1531|1531] Upgrading database schema (r209011 -> 2.9.1-2)
[2020/03/03 21:39:40.227482] [1531|1531] Upgrading database schema (r209012 -> 2.9.1-3)
[2020/03/03 21:39:40.476045] [1531|1531] Upgrading database schema (r209013 -> 2.9.2-0)
[2020/03/03 21:39:40.659937] [1531|1531] Upgrading database schema (r209020 -> 2.9.2-1)
[2020/03/03 21:39:40.928042] [1531|1531] Upgrading database schema (r209021 -> 2.9.2-2)
[2020/03/03 21:39:41.826993] [1531|1531] Database connection failed: Table 'SSLCERTS' is specified twice, both as a target for 'UPDATE' and as a separate source for data
[2020/03/03 21:39:41.827086] [1531|1531] Closing log file
[2020/03/03 21:40:07.725161] [3792|3792] LiveConfig 2.9.2-release starting...
[2020/03/03 21:40:07.725446] [3792|3792] Database driver loaded: MySQL (10.4.3)
[2020/03/03 21:40:07.730423] [3792|3792] Upgrading database schema (r209021 -> 2.9.2-2)
[2020/03/03 21:40:07.730632] [3792|3792] Database connection failed: Duplicate column name 'SSL_CHECKSTATUS'
[2020/03/03 21:40:07.730720] [3792|3792] Closing log file

Alles anzeigen

kk · 3. März 2020

Weil uns diese Frage inzwischen schon öfter erreicht hat:
es sind nicht alle Let's-Encrypt-Zertifikate betroffen, die in dem o.g. Zeitraum ausgestellt wurden.
Es betrifft nur die Fälle, in denen die CAA-Prüfung für die Domains älter als 8 Stunden waren - meistens also bei Zertifikaten die (unnötigerweise) in sehr kurzen Intervallen verlängert wurden.

kk · 3. März 2020

Zitat von bfal

Code

[2020/03/03 21:39:40.928042] [1531|1531] Upgrading database schema (r209021 -> 2.9.2-2)
[2020/03/03 21:39:41.826993] [1531|1531] Database connection failed: Table 'SSLCERTS' is specified twice, both as a target for 'UPDATE' and as a separate source for data

Oha. Dürfte mit MySQL zusammenhängen - wir prüfen das sofort.
Welche MySQL-Version genau setzen Sie ein? Und wissen Sie, ob diese im "strict mode" läuft?

taenzerme · 3. März 2020

Dito, Fehler tritt hier auch auf.

MySQL im Einsatz. sql_mode:

Code

ONLY_FULL_GROUP_BY,STRICT_TRANS_TABLES,NO_ZERO_IN_DATE,NO_ZERO_DATE,ERROR_FOR_DIVISION_BY_ZERO,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION

MySQL 5.7.28

bady · 3. März 2020

Ich erhalte leider den selben Fehler.

mysql Ver 15.1 Distrib 10.1.44-MariaDB, for debian-linux-gnu (x86_64) using readline 5.2

strict mode ist auf off

bfal · 3. März 2020

Hier wird noch die letzte Debian Stretch (9.12) eingesetzt mit der "mysql Ver 15.1 Distrib 10.1.44-MariaDB" von Debian.

sql_mode:

Code

NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION

kk · 3. März 2020

Danke für die Rückmeldungen - Fehler ist gefunden und behoben. In unserer Testumgebung hatte die Schemaänderung funktioniert, mit älteren MySQL/MariaDB klappt's offenbar nicht.
Update (v2.9.3-release) wird eben gebaut und steht in ca. 20 Minuten online. Ich gebe dann noch mal Bescheid.

taenzerme · 3. März 2020

Danke!

kk · 3. März 2020

Version 2.9.3 steht ab sofort zur Installation bereit.

Diese behebt einen Fehler aufgrund dessen v2.9.2 mit MySQL-Backend nicht starten konnte.
Ansonsten gibt's keine Änderungen (wer also SQLite nutzt braucht dieses Update nicht einspielen).

Bitte entschuldigt die Unannehmlichkeiten.

Viele Grüße

-Klaus Keppler

bady · 3. März 2020

Liveconfig startet jetzt wieder, danke!

suppenuser · 3. März 2020

Danke Dir + gute Nacht

bfal · 3. März 2020

Ja hier ist auch wieder alles gut.

Dann schon einmal Danke für den schnellen Einsatz zwecks Let´s Encrypt

kk · 4. März 2020

Danke für die Rückmeldungen!

Aktueller Stand ist, dass die betroffenen Zertifikate heute (04.03.2020) um 20:00 UTC (also 21:00 MEZ) zurückgerufen werden (Quelle).

antondollmaier · 4. März 2020

Vielen Dank für eure schnelle Reaktion!

taenzerme · 5. März 2020

kk In den Release Notes steht "SOAP-Funktionen HostingDCVCreate()/HostingDCVDelete() hinzugefügt".

Was machen die beiden Calls?

bady · 5. März 2020

Ich könnte mir vorstellen das es sich dabei um die automatische Let's Encrypt Erstellung per API handelt (https://www.liveconfig.com/de/…kat-gleich-mit-einrichten)

kk · 5. März 2020

Nein, damit kann man Domain Control Validation-Dateien für die Ausstellung von SSL-Zertifikaten anderer Anbieter per API für die jeweilige Domain hinterlegen.
Details folgen mit dem nächsten regulären Update.

Jetzt mitmachen!