Froxlor: Signaturfehler bei apt-get Update

  • Hallo zusammen,


    ich bekomme bei "apt-get update" neuerdings folgende Fehlermeldung:


    Code
    1. Err:9 https://debian.froxlor.org stretch/main amd64 Packages
    2.   server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none


    Ich verwende Debian Stretch und habe in der froxlor.list eingetragen:

    Code
    1. deb http://debian.froxlor.org stretch main


    Den Froxlor-Public Key habe ich auch nochmal neu eingelesen (wobei die entsprechende Anleitung im Netcup-Wiki https://www.netcup-wiki.de/wiki/Froxlor_Installation_per_APT falsch ist, da der angegebene Keyserver abgeschaltet wurde):


    Code
    1. apt-key adv --keyserver pgp.mit.edu --recv-key FD88018B6F2D5390D051343FF6B4A8704F9E9BBC

    Hat jemand eine Idee, wie ich das Problem gelöst bekomme?


    Vielen herzlichen Dank vorab & viele Grüße

    Christian

  • Den Froxlor-Public Key habe ich auch nochmal neu eingelesen (wobei die entsprechende Anleitung im Netcup-Wiki https://www.netcup-wiki.de/wiki/Froxlor_Installation_per_APT falsch ist, da der angegebene Keyserver abgeschaltet wurde):

    Das Problem liegt nicht darin, dass der Paketkey falsch ist, sondern der Key des Webservers.

    Aktualisiere mal das Paket ca-certificates


    Du kannst auch die Zeilen in der froxlor.list auskommentieren, das System updaten, und dann wieder scharf schalten.

    Oder direkt das Paket aktualisieren: apt-get install ca-certificates

    Ggf. musst du danach ein dpkg-reconfigure ca-certificates ausführen.

  • Mahlzeit,

    gibt verschiedene Wege. Das hängt wohl mit der LetsEncrpt Umstellung zusammen: https://www.heise.de/news/Let-…ber-moeglich-6201155.html



    Nr 1:

    Code
    1. sudo apt-get install --reinstall ca-certificates

    Nr 2:


    Code
    1. sudo mkdir /usr/local/share/ca-certificates/cacert.org
    2. sudo wget -P /usr/local/share/ca-certificates/cacert.org http://www.cacert.org/certs/root.crt http://www.cacert.org/certs/class3.crt
    3. sudo update-ca-certificates
  • Hallo micheleifel & H6G,


    vielen herzlichen Dank für Eure Hilfe. Ich habe all das probiert, leider ohne Erfolg.

    Nach wie vor:

    Ich bin da echt verzweifelt. Ich nehme an die Meldung The repository 'http://debian.froxlor.org stretch Release' does not have a Release file. ist eine Folge des Zertifikatsproblems?


    Hat noch einer eine Idee?


    Vielen herzlichen Dank vorab und viele Grüße

    Christian

  • Ich habe all das probiert, leider ohne Erfolg.

    Gib mal ein: openssl s_client -connect debian.froxlor.org:https - das gibt dir das genaue Zertifikat aus, welches geliefert wird.

    (mit Strg + C kommst du da ggf. wieder raus)

    Poste bitte den Output des Befehls.


    Steht in deiner /etc/hosts Datei etwas von Froxlor?


    Edit:


    Fällt mir auch gerade auf: in der Froxlor.list steht http - kannst du daraus mal ein https machen?

    Ist das Paket apt-transport-https installiert?

  • Hallo H6G,


    hier der Output:


    Und nein, in der /etc/hosts steht nix von Froxlor.

    Das Paket apt-transport-https war bereits installiert (gerade nochmal gecheckt) und die Änderung ->https erzeugt weiterhin den Fehler.


    Vielen Dank und viele Grüße

    Christian

  • Nur ein Schuss ins Blaue und als Denkanstoß für diejenigen, die da tiefer in der Materie sind:


    Ein Root CA von LE ist doch vor 2 Wochen abgelaufen. Kommt damit ein in die Jahre gekommendes Debian Stretch klar?


    Quote

    DST Root CA X3 will expire on September 30, 2021. That means those older devices that don’t trust ISRG Root X1 will start getting certificate warnings when visiting sites that use Let’s Encrypt certificates.
    [...]
    all clients of your API must trust ISRG Root X1 (not just DST Root CA X3), and (2) if clients of your API are using OpenSSL, they must use version 1.1.0 or later.

    Welche openssl Version läuft denn bei dir? (openssl version)


    Vielleicht ist mein Gedanke auch völlig Quatsch, dann einfach ignorieren und weitergehen. ^^

  • Wenn ich das richtig im Kopf habe, ist das bei Debian Stretch wirklich ein Problem, wenn die (OpenSSL?) Pakete veraltet sind. Mach mal ein Upgrade von allen anderen Paketen, dann sollte der Fehler weg sein. Ich hatte so einen Fehler vor einigen Tagen in einer VM ebenfalls, die ich nur sporadisch für Testzwecke hochfahre und bei der einige (*hust*) Updates fehlten.

  • Hallo Rene,

    die Version ist OpenSSL 1.1.1i  8 Dec 2020 und laut PackageManager die neueste.

    Den Punkt den Du aufwirfst - gute Frage....

    VG

    Christian

  • Wenn ich das richtig im Kopf habe, ist das bei Debian Stretch wirklich ein Problem, wenn die (OpenSSL?) Pakete veraltet sind. Mach mal ein Upgrade von allen anderen Paketen, dann sollte der Fehler weg sein. Ich hatte so einen Fehler vor einigen Tagen in einer VM ebenfalls, die ich nur sporadisch für Testzwecke hochfahre und bei der einige (*hust*) Updates fehlten.

    Schon gemacht... half leider nichts. Allerdings hab ich mich auch noch nicht an das dist-Upgrade gewagt, aber das meintest Du nicht oder?

  • Vielleicht ist das auch das Problem. Bietet froxlor noch Updates für Stretch an? Oder vielleicht nur noch für neuere Distris?

    Also laut https://froxlor.de/download.php schon:

    Ich schreibe mal bei Froxlor ins Forum, mal sehen ob das Problem bekannt ist. Alles andere macht ja keine Probleme, in der Tat.

    BTW: Meine Froxlor-Version ist die 0.10.22-1, die neueste ist die 0.10.29-1. Auch auf der Froxlor-Adminseite lässt sich der Versionscheck nicht mehr aufrufen. Irgendwas ist also oberfaul.


    Viele Grüße

    Christian

  • Hi KB19,

    ich kann mich nicht erinnern das Paket selbst installiert zu haben, von daher - gute Frage.

    Hier der Output:

    Code
    1. openssl:
    2. Installed: 1.1.1i-1+0~20201212.21+debian9~1.gbpc1ad96
    3. Candidate: 1.1.1i-1+0~20201212.21+debian9~1.gbpc1ad96
    4. Version table:
    5. *** 1.1.1i-1+0~20201212.21+debian9~1.gbpc1ad96 100
    6. 100 /var/lib/dpkg/status
    7. 1.1.0l-1~deb9u1 500
    8. 500 http://ftp2.de.debian.org/debian stretch/main amd64 Packages

    Vielen Dank für die Hilfe, und das noch am Sonntag und schönem Wetter.

    Viele Grüße

    Christian

  • Dein OpenSSL-Paket ist zu 99% von deb.sury.org und veraltet.


    Kannst Du bitte noch die Ausgabe dieser beiden Befehle posten? :-)


    Vorher traue ich mir da keine weitere Empfehlung abgeben.

    Code
    1. cat /etc/apt/sources.list{,.d/*.list}
    2. aptitude search '?installed(?origin(sury))'

    Falls Du kein aptitude hast, installiere es bitte nach: apt install aptitude