Froxlor: Signaturfehler bei apt-get Update

  • Hallo zusammen,


    ich bekomme bei "apt-get update" neuerdings folgende Fehlermeldung:


    Code
    Err:9 https://debian.froxlor.org stretch/main amd64 Packages
      server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none


    Ich verwende Debian Stretch und habe in der froxlor.list eingetragen:

    Code
    deb http://debian.froxlor.org stretch main


    Den Froxlor-Public Key habe ich auch nochmal neu eingelesen (wobei die entsprechende Anleitung im Netcup-Wiki https://www.netcup-wiki.de/wiki/Froxlor_Installation_per_APT falsch ist, da der angegebene Keyserver abgeschaltet wurde):


    Code
    apt-key adv --keyserver pgp.mit.edu --recv-key FD88018B6F2D5390D051343FF6B4A8704F9E9BBC

    Hat jemand eine Idee, wie ich das Problem gelöst bekomme?


    Vielen herzlichen Dank vorab & viele Grüße

    Christian

  • Den Froxlor-Public Key habe ich auch nochmal neu eingelesen (wobei die entsprechende Anleitung im Netcup-Wiki https://www.netcup-wiki.de/wiki/Froxlor_Installation_per_APT falsch ist, da der angegebene Keyserver abgeschaltet wurde):

    Das Problem liegt nicht darin, dass der Paketkey falsch ist, sondern der Key des Webservers.

    Aktualisiere mal das Paket ca-certificates


    Du kannst auch die Zeilen in der froxlor.list auskommentieren, das System updaten, und dann wieder scharf schalten.

    Oder direkt das Paket aktualisieren: apt-get install ca-certificates

    Ggf. musst du danach ein dpkg-reconfigure ca-certificates ausführen.

  • Mahlzeit,

    gibt verschiedene Wege. Das hängt wohl mit der LetsEncrpt Umstellung zusammen: https://www.heise.de/news/Let-…ber-moeglich-6201155.html



    Nr 1:

    Code
    sudo apt-get install --reinstall ca-certificates

    Nr 2:


    Code
    sudo mkdir /usr/local/share/ca-certificates/cacert.org
    sudo wget -P /usr/local/share/ca-certificates/cacert.org http://www.cacert.org/certs/root.crt http://www.cacert.org/certs/class3.crt
    sudo update-ca-certificates
  • Hallo micheleifel & H6G,


    vielen herzlichen Dank für Eure Hilfe. Ich habe all das probiert, leider ohne Erfolg.

    Nach wie vor:

    Ich bin da echt verzweifelt. Ich nehme an die Meldung The repository 'http://debian.froxlor.org stretch Release' does not have a Release file. ist eine Folge des Zertifikatsproblems?


    Hat noch einer eine Idee?


    Vielen herzlichen Dank vorab und viele Grüße

    Christian

  • Ich habe all das probiert, leider ohne Erfolg.

    Gib mal ein: openssl s_client -connect debian.froxlor.org:https - das gibt dir das genaue Zertifikat aus, welches geliefert wird.

    (mit Strg + C kommst du da ggf. wieder raus)

    Poste bitte den Output des Befehls.


    Steht in deiner /etc/hosts Datei etwas von Froxlor?


    Edit:


    Fällt mir auch gerade auf: in der Froxlor.list steht http - kannst du daraus mal ein https machen?

    Ist das Paket apt-transport-https installiert?

  • Hallo H6G,


    hier der Output:


    Und nein, in der /etc/hosts steht nix von Froxlor.

    Das Paket apt-transport-https war bereits installiert (gerade nochmal gecheckt) und die Änderung ->https erzeugt weiterhin den Fehler.


    Vielen Dank und viele Grüße

    Christian

  • Nur ein Schuss ins Blaue und als Denkanstoß für diejenigen, die da tiefer in der Materie sind:


    Ein Root CA von LE ist doch vor 2 Wochen abgelaufen. Kommt damit ein in die Jahre gekommendes Debian Stretch klar?


    Zitat

    DST Root CA X3 will expire on September 30, 2021. That means those older devices that don’t trust ISRG Root X1 will start getting certificate warnings when visiting sites that use Let’s Encrypt certificates.
    [...]
    all clients of your API must trust ISRG Root X1 (not just DST Root CA X3), and (2) if clients of your API are using OpenSSL, they must use version 1.1.0 or later.

    Welche openssl Version läuft denn bei dir? (openssl version)


    Vielleicht ist mein Gedanke auch völlig Quatsch, dann einfach ignorieren und weitergehen. ^^

  • Wenn ich das richtig im Kopf habe, ist das bei Debian Stretch wirklich ein Problem, wenn die (OpenSSL?) Pakete veraltet sind. Mach mal ein Upgrade von allen anderen Paketen, dann sollte der Fehler weg sein. Ich hatte so einen Fehler vor einigen Tagen in einer VM ebenfalls, die ich nur sporadisch für Testzwecke hochfahre und bei der einige (*hust*) Updates fehlten.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Ich nehme an die Meldung The repository 'http://debian.froxlor.org stretch Release' does not have a Release file. ist eine Folge des Zertifikatsproblems?

    Vielleicht ist das auch das Problem. Bietet froxlor noch Updates für Stretch an? Oder vielleicht nur noch für neuere Distris?

  • Hallo Rene,

    die Version ist OpenSSL 1.1.1i  8 Dec 2020 und laut PackageManager die neueste.

    Den Punkt den Du aufwirfst - gute Frage....

    VG

    Christian

  • Wenn ich das richtig im Kopf habe, ist das bei Debian Stretch wirklich ein Problem, wenn die (OpenSSL?) Pakete veraltet sind. Mach mal ein Upgrade von allen anderen Paketen, dann sollte der Fehler weg sein. Ich hatte so einen Fehler vor einigen Tagen in einer VM ebenfalls, die ich nur sporadisch für Testzwecke hochfahre und bei der einige (*hust*) Updates fehlten.

    Schon gemacht... half leider nichts. Allerdings hab ich mich auch noch nicht an das dist-Upgrade gewagt, aber das meintest Du nicht oder?

  • Vielleicht ist das auch das Problem. Bietet froxlor noch Updates für Stretch an? Oder vielleicht nur noch für neuere Distris?

    Also laut https://froxlor.de/download.php schon:

    Ich schreibe mal bei Froxlor ins Forum, mal sehen ob das Problem bekannt ist. Alles andere macht ja keine Probleme, in der Tat.

    BTW: Meine Froxlor-Version ist die 0.10.22-1, die neueste ist die 0.10.29-1. Auch auf der Froxlor-Adminseite lässt sich der Versionscheck nicht mehr aufrufen. Irgendwas ist also oberfaul.


    Viele Grüße

    Christian

  • die Version ist OpenSSL 1.1.1i  8 Dec 2020 und laut PackageManager die neueste.

    Was genau verwendest Du da? Irgendwas aus Backports oder anderen Repositories wie z.B. SURY? Laut Debian Website stimmt da irgendwas nicht…


    Kannst Du bitte die Ausgabe davon posten: apt-cache policy openssl

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Hi KB19,

    ich kann mich nicht erinnern das Paket selbst installiert zu haben, von daher - gute Frage.

    Hier der Output:

    Code
    openssl:
      Installed: 1.1.1i-1+0~20201212.21+debian9~1.gbpc1ad96
      Candidate: 1.1.1i-1+0~20201212.21+debian9~1.gbpc1ad96
      Version table:
     *** 1.1.1i-1+0~20201212.21+debian9~1.gbpc1ad96 100
            100 /var/lib/dpkg/status
         1.1.0l-1~deb9u1 500
            500 http://ftp2.de.debian.org/debian stretch/main amd64 Packages

    Vielen Dank für die Hilfe, und das noch am Sonntag und schönem Wetter.

    Viele Grüße

    Christian

  • Dein OpenSSL-Paket ist zu 99% von deb.sury.org und veraltet.


    Kannst Du bitte noch die Ausgabe dieser beiden Befehle posten? :)


    Vorher traue ich mir da keine weitere Empfehlung abgeben.

    Code
    cat /etc/apt/sources.list{,.d/*.list}
    aptitude search '?installed(?origin(sury))'

    Falls Du kein aptitude hast, installiere es bitte nach: apt install aptitude

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Moin, ich führ das hier mal weiter weil ich gerade das gleiche / ein ähnliches Problem auf einem VServer habe.


    Code
    # uname -a
    Linux REDACTED.bestsrv.de 4.9.0-0.bpo.12-amd64 #1 SMP Debian 4.9.210-1+deb9u1~deb8u1 (2020-06-09) x86_64 GNU/Linux


    Nach "apt update" folgende Ausgabe:


    Davor "apt-get install ca-certificates" und "dpkg-reconfigure ca-certificates":

    Code
    # apt-get install ca-certificates
    [...]
    0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
    
    
    # dpkg-reconfigure ca-certificates
    Updating certificates in /etc/ssl/certs... 0 added, 0 removed; done.
    Processing triggers for ca-certificates (20141019+deb8u4) ...
    Updating certificates in /etc/ssl/certs... 0 added, 0 removed; done.
    Running hooks in /etc/ca-certificates/update.d....done.


    Weiter infos:

  • Moin, ich führ das hier mal weiter weil ich gerade das gleiche / ein ähnliches Problem auf einem VServer habe.

    Du hast Debian Jessie (8) - das hat keine LTS Unterstützung mehr seit 2020!

    https://www.debian.org/News/2020/20200709


    Bitte unbedingt auf eine aktuelle Debian Version wechseln!

    Die Pakete ca-certificates haben demnach auf Jessie auch keine Updates mehr, sodass die Zertifikate als ungültig angesehen werden.