Falsches Zertifikat für netcup-sonderangebote.de

    Ich habe einen Rootserver mit Debian und Docker. Meinem RSS-Collector (TTRSS) wollte ich den RSS-Feed unter https://www.netcup-sonderangebote.de/feed/ hinzufügen. Leider schlägt das fehl, da das TLS-Zertifikat nicht gültig sei (Certificate expired.) Alle anderen Feeds, auch mit Let's Encrypt, funktionieren, es ist nur diese eine Domain die nicht möchte.

    curl innerhalb Docker, egal ob alpine, ubuntu, oder fedora schlägt immer mit abgelaufenem Zertifikat fehl. Auf dem Host, kann ich erfolgreich verbinden. Innerhalb der genannten Container funktionieren andere Let's Encrypt Domänen einwandfrei.

    Wenn ich lokal einen z.B. Ubuntu-Container starte, funktioniert es ebenfalls.


    Innerhalb eines Containers: openssl s_client -connect http://www.netcup-sonderangebote.de:443 zeigt auch an, dass das Zertifikat am 29.09.2019 abgelaufen ist. Selbstverständlich ist es dann nicht mehr gültig. Aber warum bietet mir der Server dieses alte Zertifikat an?


    Wenn ich curl sage, es soll den Fehler ignorieren (curl --insecure), wird die Verbindung zwar hergestellt und ich bekomme den Feed, aber die neueste Meldung darin ist ein Angebot ebenfalls von 2019. Ich bekomme also innerhalb von Docker-Containern auf meinem Host nur von dieser Domäne den Zustand von 2019 ausgeliefert.


    Ich bin mit meinem Latein am Ende.

    Code
    openssl s_client -showcerts -connect www.netcup-sonderangebote.de:443 2>/dev/null | openssl x509 -noout -dates
notBefore=Jan 12 23:38:31 2021 GMT
notAfter=Apr 12 23:38:31 2021 GMT

    Also für mich sieht das Cert noch gültig aus.


    Edit: die aktuellsten ANgebote im Feed sind bei mir auch aus 02/2021. Sicher dass du im Script die korrekte URL aufrufst?

    Das ist ja das was mich so verwirrt. Lokal und auf dem Host habe ich die selbe Ausgabe, nur innerhalb der Container (z.B. alpine:3.13)

    Code
    / # openssl s_client -showcerts -connect www.netcup-sonderangebote.de:443 2>/dev/null | openssl x509 -noout -dates
notBefore=Jul  1 10:43:02 2019 GMT
notAfter=Sep 29 10:43:02 2019 GMT

    Welche A/AAAA-Records werden im Container für diese Domain zurückgeliefert?


    Führe den openssl-Test mal direkt mit der IPv4 und IPv6 Adresse aus.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Alles innerhalb des Containers (IPv6 habe ich für Docker nicht eingerichtet)

    Code
    # dig +short A www.netcup-sonderangebote.de
netcup-sonderangebote.de.
46.38.232.32
    Code
    # dig +short AAAA www.netcup-sonderangebote.de 
netcup-sonderangebote.de.
2a03:4000:2:1d::e820
    Code
    # openssl s_client -showcerts -connect 46.38.232.32:443 2>/dev/null | openssl x509 -noout -dates
notBefore=Jul  1 10:43:02 2019 GMT
notAfter=Sep 29 10:43:02 2019 GMT

    Ich habe mir nun die Mühe gemacht und IPv6 auch innerhalb der Container zu aktivieren (das ist ja furchtbar!).

    Mit IPv4 bekomme ich das alte Zertifikat, nur IPv6 bekommt das richtige:

    IPv4:

    Code
    / # openssl s_client -4 -showcerts -connect www.netcup-sonderangebote.de:443 2>/dev/null | openssl x509 -noout -dates
notBefore=Jul  1 10:43:02 2019 GMT
notAfter=Sep 29 10:43:02 2019 GMT

    IPv6:

    Code
    / # openssl s_client -6 -showcerts -connect www.netcup-sonderangebote.de:443 2>/dev/null | openssl x509 -noout -dates
notBefore=Jan 12 23:38:31 2021 GMT
notAfter=Apr 12 23:38:31 2021 GMT