Keine hilfreiche Fehlermeldung bei SSL Verbindung wenn die CRL expired ist?

Hallo,

ich habe nun ein paar Stunden meines Lebens damit zugebracht ein Problem zu identifizieren.
Es geht um ein Web-Projekt an das man sich per Client-Zertifikat von Windows-PCs anmeldet.
Die Zertifikate sind mit einer eigenen CA am Web-Server ausgestellt und in der Windows-Benutzerzertifikatsverwaltung zusammen mit dem Root-CA gespeichert.


Das funktioniere ziemlich lange absolut zuverlässt.
Ab heute morgen nicht mehr auf allen Clients gleichzeitig.

Im Browser erschien nur dies.

Im Error-Log des Apache erschein gar nichts.
Auch nicht im Syslog oder anderen Logs.

Es muss also etwas mit der CA, dem Server oder Uhrtzeit/Datum zu tun haben.
Ich habe dann im Apache die Logs hochgedrecht und sehe was? Keinen ssl:error.
Das ist die einzige Zeile, neben vielen traces mit hexdaten

Auch ein neues Zertifikat funktioniert nicht.
Am Server können alle Zertifikate erfolgreich gegen das CA geprüft werden.

Lösung: Die SSLCARevocationFile war expired.
Die Frage ist nun eher warum steht das nicht in irgendeinem Log drin?
Mit der Fehlermeldung wäre ich ja nach 5 Minuten fertig gewesen.

Falls Euch auch mal so ein Fehler unterläuft.

Stefan

SSLCARevocationCheck strict

	SSLEngine on
SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
SSLVerifyDepth 10
SSLCertificateFile /var/hosting/certificates/xxxxcrt
SSLCertificateKeyFile /var/hosting/certificates/xxxx.key
SSLCACertificateFile /etc/ssl/myCA/certs/ca.crt
SSLVerifyClient optional
#SSLVerifyClient require
SSLVerifyDepth 10
SSLOptions +StdEnvVars +ExportCertData
SSLCARevocationFile /etc/ssl/myCA/crl/myCA.crl
SSLCARevocationCheck chain