ft:c Chat - Zertifikat wieder mal abgelaufen?

[sven]

Hallo!

Ich kann mich mit dem IRC Chat nicht mehr verbinden.
Da scheint mal wieder etwas mit dem Zertifikat nicht zu stimmen. Das Problem gabs ja schon mal.
Früher gabs mit dem Chat solche Probleme nicht.

Gruß
sven

[steffalk]

Tach auch!

a) "früher" gabs da ja auch nichtmal ein Zertifikat

b) Was *genau* kommt denn als Fehlermeldung? Steht da denn was von Zertifikat?

Gruß,
Stefan

[ModeratorRalf]

Hallo!
Ich kann mich mit dem IRC Chat nicht mehr verbinden.
Da scheint mal wieder etwas mit dem Zertifikat nicht zu stimmen. Das Problem gabs ja schon mal.
Früher gabs mit dem Chat solche Probleme nicht.

Moin, es ist zwar schwierig einen Übersetzer vom Ostwestfälischen ins allgemein Verständliche zu finden, aber es ist nicht unmöglich.
- deep thought -
Guten Morgen liebe Admins,
ich kann mich mit dem IRC Chat nicht mehr verbinden. Eventuell ist das Zertifikat abgelaufen. Wenn ich mich recht erinnere, gab es das vor einigen Jahren schon einmal. Als ich mich noch vor vielen, vielen Jahren um den Chat und seine Funktionalität gekümmert hatte, habe ich solche Probleme innerhalb von wenigen Minuten bemerkt und auch so schnell behoben, dass niemand anders es bemerkt hatte.
Bitte behebt das Problem doch sobald ihr Zeit dafür findet.
- /deep thought -

[sven]

Hallo!

Hier der Status-Log:

Code: Alles auswählen

Your message to [NickServ] got lost, you are not connected to IRC!
09:28 Disconnected
09:28 *status: Your message to [NickServ] got lost, you are not connected to IRC!
09:28 *status: Cannot connect to IRC (Network is unreachable). Retrying...
09:29 *status: Cannot connect to IRC (Network is unreachable). Retrying...
09:29 *status: Cannot connect to IRC (Network is unreachable). Retrying...
09:30 *status: Cannot connect to IRC (Network is unreachable). Retrying...
09:30 *status: Cannot connect to IRC (Network is unreachable). Retrying...
09:31 *status: Cannot connect to IRC (Network is unreachable). Retrying...
09:31 *status: Cannot connect to IRC (Network is unreachable). Retrying...
09:32 *status: Disconnected from IRC (Invalid SSL certificate: certificate has expired). Reconnecting...
09:32 *status: |Certificate:
09:32 *status: |    Data:
09:32 *status: |        Version: 3 (0x2)
09:32 *status: |        Serial Number:
09:32 *status: |            03:b4:1d:3d:57:a6:10:21:74:70:86:e4:10:99:fe:bc:56:4f
09:32 *status: |        Signature Algorithm: sha256WithRSAEncryption
09:32 *status: |        Issuer: C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
09:32 *status: |        Validity
09:32 *status: |            Not Before: Dec 20 00:36:43 2019 GMT
09:32 *status: |            Not After : Mar 19 00:36:43 2020 GMT
09:32 *status: |        Subject: CN=chat.ftcommunity.de
09:32 *status: |        Subject Public Key Info:
09:32 *status: |            Public Key Algorithm: rsaEncryption
09:32 *status: |                RSA Public-Key: (2048 bit)
09:32 *status: |                Modulus:
09:32 *status: |                    00:bb:88:3b:75:70:6c:32:d5:38:65:20:51:16:4f:
09:32 *status: |                    11:0a:ce:5d:84:bf:61:5c:6c:c9:29:29:bb:d9:4a:
09:32 *status: |                    fd:2a:a6:20:51:a4:24:c4:6c:01:db:53:ae:a4:1e:
09:32 *status: |                    59:41:07:ae:33:84:fb:77:44:cc:f4:81:6a:e4:f0:
09:32 *status: |                    0a:1f:d5:f1:85:27:59:fb:41:90:ee:0d:56:e2:9b:
09:32 *status: |                    e6:89:e1:f8:db:85:ae:83:19:a1:83:e2:58:3d:64:
09:32 *status: |                    e4:b8:8d:90:b7:75:f1:a4:d3:d8:f9:9c:7b:1b:50:
09:32 *status: |                    a1:40:e9:21:63:e7:e1:0d:8e:48:a6:bb:a9:31:9d:
09:32 *status: |                    57:9c:bd:88:3c:36:b4:3d:4c:0e:7f:5c:00:5a:59:
09:32 *status: |                    bc:38:7a:3f:78:ae:d0:41:46:ce:a9:24:a2:9f:dc:
09:32 *status: |                    e6:d4:09:7a:c4:b5:b0:2a:b1:ed:ca:11:88:db:fb:
09:32 *status: |                    0d:58:07:3a:c5:b7:24:90:6b:46:78:55:d1:3a:94:
09:32 *status: |                    23:f9:12:0a:19:8e:bb:ed:f3:a5:de:54:83:0f:60:
09:32 *status: |                    5d:60:25:cb:07:e9:0e:be:02:a3:c9:30:1b:ce:b6:
09:32 *status: |                    22:58:a2:49:80:f9:6f:c7:9a:6d:d3:1e:29:db:c9:
09:32 *status: |                    56:5d:29:78:27:35:9a:a0:54:9e:f5:36:8f:9e:ce:
09:32 *status: |                    b8:a7:a5:e1:91:1c:89:41:35:db:15:5b:85:4e:07:
09:32 *status: |                    39:95
09:32 *status: |                Exponent: 65537 (0x10001)
09:32 *status: |        X509v3 extensions:
09:32 *status: |            X509v3 Key Usage: critical
09:32 *status: |                Digital Signature, Key Encipherment
09:32 *status: |            X509v3 Extended Key Usage:
09:32 *status: |                TLS Web Server Authentication, TLS Web Client Authentication
09:32 *status: |            X509v3 Basic Constraints: critical
09:32 *status: |                CA:FALSE
09:32 *status: |            X509v3 Subject Key Identifier:
09:32 *status: |                6D:18:D8:18:F2:4B:EE:7D:01:91:13:4C:7F:FE:DC:EF:7D:A7:62:65
09:32 *status: |            X509v3 Authority Key Identifier:
09:32 *status: |                keyid:A8:4A:6A:63:04:7D:DD:BA:E6:D1:39:B7:A6:45:65:EF:F3:A8:EC:A1
09:32 *status: |
09:32 *status: |            Authority Information Access:
09:32 *status: |                OCSP - URI:http://ocsp.int-x3.letsencrypt.org
09:32 *status: |                CA Issuers - URI:http://cert.int-x3.letsencrypt.org/
09:32 *status: |
09:32 *status: |            X509v3 Subject Alternative Name:
09:32 *status: |                DNS:chat.ftcommunity.de, DNS:matrix.chat.ftcommunity.de
09:32 *status: |            X509v3 Certificate Policies:
09:32 *status: |                Policy: 2.23.140.1.2.1
09:32 *status: |                Policy: 1.3.6.1.4.1.44947.1.1.1
09:32 *status: |                  CPS: http://cps.letsencrypt.org
09:32 *status: |
09:32 *status: |            CT Precertificate SCTs:
09:32 *status: |                Signed Certificate Timestamp:
09:32 *status: |                    Version   : v1 (0x0)
09:32 *status: |                    Log ID    : F0:95:A4:59:F2:00:D1:82:40:10:2D:2F:93:88:8E:AD:
09:32 *status: |                                4B:FE:1D:47:E3:99:E1:D0:34:A6:B0:A8:AA:8E:B2:73
09:32 *status: |                    Timestamp : Dec 20 01:36:43.158 2019 GMT
09:32 *status: |                    Extensions: none
09:32 *status: |                    Signature : ecdsa-with-SHA256
09:32 *status: |                                30:45:02:20:39:D6:41:6D:1F:1D:D6:CF:48:71:9A:FA:
09:32 *status: |                                CF:31:01:3B:FD:4E:D8:05:46:B1:A6:74:9E:87:BB:12:
09:32 *status: |                                80:95:8D:7C:02:21:00:BA:4A:7B:88:DE:F8:6D:50:1C:
09:32 *status: |                                95:93:CE:A8:68:D0:FD:6A:53:C0:FC:95:33:D4:A5:47:
09:32 *status: |                                E2:5B:4A:9D:89:56:2F
09:32 *status: |                Signed Certificate Timestamp:
09:32 *status: |                    Version   : v1 (0x0)
09:32 *status: |                    Log ID    : 07:B7:5C:1B:E5:7D:68:FF:F1:B0:C6:1D:23:15:C7:BA:
09:32 *status: |                                E6:57:7C:57:94:B7:6A:EE:BC:61:3A:1A:69:D3:A2:1C
09:32 *status: |                    Timestamp : Dec 20 01:36:43.195 2019 GMT
09:32 *status: |                    Extensions: none
09:32 *status: |                    Signature : ecdsa-with-SHA256
09:32 *status: |                                30:44:02:20:50:67:A4:5D:81:D5:2B:B1:DD:10:27:E7:
09:32 *status: |                                47:ED:C7:FC:04:9D:C1:5A:E3:F7:8B:8B:3F:EE:E4:F8:
09:32 *status: |                                D4:0A:A1:DF:02:20:44:54:E3:CF:07:5C:7E:8D:B8:58:
09:32 *status: |                                17:E2:72:0D:D8:4F:CF:40:72:EB:0E:72:65:32:8E:32:
09:32 *status: |                                E7:C7:CD:27:95:0D
09:32 *status: |    Signature Algorithm: sha256WithRSAEncryption
09:32 *status: |         4c:0d:d5:de:a0:3d:5f:e2:46:cd:23:4f:a4:5f:0d:b1:86:22:
09:32 *status: |         9b:9d:97:16:e3:fc:3f:f3:13:ba:23:c5:8e:ff:e7:5e:16:eb:
09:32 *status: |         e6:06:e7:69:2c:a6:1d:40:b2:7f:ba:f1:da:0f:74:53:64:77:
09:32 *status: |         ea:1c:27:58:37:4c:7f:f6:35:a1:44:ab:6b:14:88:a7:3d:23:
09:32 *status: |         8f:3b:df:2c:2a:25:15:2b:89:99:5f:81:62:d7:dc:eb:f0:9a:
09:32 *status: |         e1:b9:5d:d7:6c:51:af:4e:19:8e:08:79:17:d5:85:3e:b3:0c:
09:32 *status: |         7b:d1:1a:26:8a:78:f4:09:5f:b4:eb:46:b8:c7:d4:9e:24:d0:
09:32 *status: |         81:b6:65:02:34:cb:ef:a4:c8:05:59:60:20:44:a1:b6:d3:f7:
09:32 *status: |         fd:5c:46:39:bb:b5:73:cc:b0:3e:8f:f8:1c:bb:74:d7:a1:a2:
09:32 *status: |         36:fd:ac:10:79:c5:f2:bb:0d:53:f7:18:00:61:86:e0:92:b8:
09:32 *status: |         59:aa:03:bc:e8:56:1c:25:2c:7d:b4:5f:f0:2a:c3:6e:90:1a:
09:32 *status: |         7f:db:f9:ba:82:10:46:79:e4:91:38:7a:88:3e:36:22:74:ef:
09:32 *status: |         ea:82:b5:99:c6:68:fe:40:53:7b:c2:33:25:8f:af:6d:89:8d:
09:32 *status: |         06:20:77:2a:11:37:8e:93:14:69:f5:6f:e7:60:06:b3:2b:e7:
09:32 *status: |         be:97:0d:af
09:32 *status: SHA1: a7:29:9b:72:ae:fb:3f:e9:59:9b:fe:52:ac:cd:48:00:a6:6f:02:85
09:32 *status: SHA-256: 38:57:9d:b8:1f:8b:8b:ed:d7:45:24:80:86:88:f4:c4:dd:df:a5:96:fe:81:16:06:7c:6b:fc:de:43:62:b0:17
09:32 *status: If you trust this certificate, do /znc AddTrustedServerFingerprint 38:57:9d:b8:1f:8b:8b:ed:d7:45:24:80:86:88:f4:c4:dd:df:a5:96:fe:81:16:06:7c:6b:fc:de:43:62:b0:17
09:32 *status: Disconnected from IRC. Reconnecting...
09:32 *status: Cannot connect to IRC (Network is unreachable). Retrying...

Der Fehler ist genau der von vor ein paar Wochen.
Richard hatte zum Zertifikat ja mal was geschrieben.
Das scheint sich ja irgendwie nicht von selber zu erneuern und muss dann händisch gemacht werden.

@ralf:
Lass Deine dummen Sprüche. Das hilft nicht weiter.
Als Vorsitzender des ft:c Modellbau solltest Du Deine Wortwahl und Deine Ausdrucksweise mal überdenken.
Außerdem ist der letzte Zertifikatsfehler erst ein paar Wochen her.

Gruß
sven

[ModeratorRalf]

Hallo Sven,
wir kennen uns nun schon so viele Jahre persönlich. Du hast hier viele Jahre selbst moderiert.
Ich möchte erreichen, dass hier im Forum das Wort 'Bitte' nicht in Vergessenheit gerät.
Schon alleine die von dir gewählte Überschrift liest sich so, dass du 'genervt' bist.
Ich selbst kann deine Beiträge, nebst Überschrift, in einem sehr sanften und moderaten Tonfall lesen, gerade weil wir uns persönlich so lange kennen.
Das können aber nicht alle. Du hast doch sicherlich ein Interesse daran, von vielen so verstanden zu werden, wie du dich persönlich deinem Gegenüber auch ausdrücken würdest und das auch kannst (wie wir das in vielen und längeren Gesprächen und Telefonaten früher hatten).

In einer Nicht-Schriftlichen Unterhaltung kommen zusätzlich Mimik, Betonung und viele nonverbale Aspekte hinzu, die man in einer schriftlichen Kommunikation mühsam mit geeigneten Wörtern ersetzen muss. Geeignete Hilfsmittel können z.B. auch Smileys oder auch Humor und Ironie sein.

Viele Grüße, Ralf

[richard.kunze]

Ja, der Ircd ist beim letzten Zertifikatswechsel (war am 18.2.) nicht automatisch neu gestartet und hat daher weiter das alte Zertifikat verwendet - und das ist jetzt abgelaufen.

Ich hoffe ich hab jetzt endlich die richtige Stelle erwischt um certbot (das ist die Software die sich um die Zertiifkatsverängerungen kümmert) zu verklickern dass bei einem Wechsel des Chat-Zertifikats auch der Ircd neu gestartet werden muss. Ob das wirklich stimmt, sehen wir dann beim nächsten Zertifikatswechel Mitte April...

[Karl]

Hallo,
dumme Frage, was bewirkt das "Zertifikat" ?

[steffalk]

Tach auch!

@Karl: Das Zertifikat ist die Voraussetzung dafür, dass man sich verschlüsselt mit dem Chat-Server verbinden kann. Es geht auch unverschlüsselt, aber verschlüsselt geht es nur, wenn das Zertifikat da und gültig ist.

Gruß,
Stefan

[The Rob]

Ein Zertfikat (in der Informatik) ist der Nachweis, dass wir der Server sind, der unter der angefragten Adresse erreichbar sein soll. (vereinfacht gesagt)
Damit verhindert man sogenannte "man in the middle" Angriffe. Wenn jemand anderes in deiner Leitung hängt, kann er sich dir gegenüber nicht als ftc ausweisen, weil er nicht das Zertifikat hat.

[Karl]

Hallo,
danke für eure Antworten.
Gehe als IT-Laie davon aus daß die Story dann auch mit dem "https:" zusammenhängt.

[The Rob]

Wenn du das bereits soweit verstanden hast, dann bist du schon nicht mehr ganz Laie.

[EstherM]

Hallo Karl,
Es gibt keine dummen Fragen.

Hallo,
danke für eure Antworten.
Gehe als IT-Laie davon aus daß die Story dann auch mit dem "https:" zusammenhängt.

Genaus so ist es. Bei HTTPS ist die Kommunikation zwischen Browser und Server verschlüsselt. Das hat man heute so, damit nicht ein Fremder die Kommunikation, z.B. das Password, mitlesen kann (das wäre dann eine Man-In-The-Middle-Attack). Für die Verschlüsselung und als Beweis, dass der Server auch zu der angefragten Domain gehört, dient das Zertifikat.
Das Zertifikat sichert nicht nur HTTPS ab, sondern auch den Chat, Emails, oder was es sonst noch so gibt.
Auf dem ftcommunity-Server nutzen wir ein Zertifikat von LetsEncrypt. Aus Sicherheitsgründen laufen diese Zertifikate nach spätestens 90 Tagen ab. Für die Verwaltung und die automatische Verlängerung sorgt der von Richard schon genannte "Certbot". Eigentlich sollte das nach Einrichtung alles voll automatisch ohne Zutun eines Server-Admins ablaufen. Hier hat auch die Verlängerung der Zertifikate gut geklappt, nur leider hat der Chatserver das nicht mitbekommen.
Gruß
Esther

[Karl]

@ Rob, @Esther,
dieses mit dem Zusammenhang, da bin ich wohl noch gaaaanz weit weg. Habe es einfach mal erraten und gebe zu,
die wirklichen Zusammenhänge nicht zu kennen. Mich wunderts daß es einfach funktioniert. Eigentlich wenn verschlüsselt,
muß ich doch auch irgendeinen "Schlüssel" haben, aber so einseitig...,....? Egal, die Hauptsache ist, es funktioniert.

[EstherM]

Hallo Karl,
das Zauberwort für die Verschlüsselung heißt Public-Key-Verfahren. Kurz gesagt: die Nachricht, die mit dem öffentlichen Schlüssel verschlüsselt ist, kann nur der lesen, der den geheimen "Private-Key" besitzt. Wenn Du Dir die Fehlermeldung anguckt, die sven gepostet hat, siehst Du, dass da ein "Public Key" mitgeschickt wurde.
Natürlich bedeutet die Zertifizierung nicht, dass die Webseiten für die Benutzer sicher sein müssen: ein solches Zertifikat könnte auch auf einem Server sitzen, von dem aus Phishing-Attacken oder sonstige Verbrechen ausgehen. Aber das ist wieder ein anderes Problem.
Gruß
Esther