stefankittel

Keine hilfreiche Fehlermeldung bei SSL Verbindung wenn die CRL expired ist?

Hallo,

ich habe nun ein paar Stunden meines Lebens damit zugebracht ein Problem zu identifizieren.
Es geht um ein Web-Projekt an das man sich per Client-Zertifikat von Windows-PCs anmeldet.
Die Zertifikate sind mit einer eigenen CA am Web-Server ausgestellt und in der Windows-Benutzerzertifikatsverwaltung zusammen mit dem Root-CA gespeichert.


Das funktioniere ziemlich lange absolut zuverlässt.
Ab heute morgen nicht mehr auf allen Clients gleichzeitig.

Im Browser erschien nur dies.
Gesicherte Verbindung fehlgeschlagen
SSL_ERROR_CERTIFICATE_UNKNOWN_ALERT

Im Error-Log des Apache erschein gar nichts.
Auch nicht im Syslog oder anderen Logs.

Es muss also etwas mit der CA, dem Server oder Uhrtzeit/Datum zu tun haben.
Ich habe dann im Apache die Logs hochgedrecht und sehe was? Keinen ssl:error.
Das ist die einzige Zeile, neben vielen traces mit hexdaten
[ssl:info] [pid 29922] [client x.x.x.x:36105] AH01998: Connection closed to child 16 with abortive shutdown (server host.firma.de:443)

Auch ein neues Zertifikat funktioniert nicht.
Am Server können alle Zertifikate erfolgreich gegen das CA geprüft werden.

Lösung: Die SSLCARevocationFile war expired.
Die Frage ist nun eher warum steht das nicht in irgendeinem Log drin?
Mit der Fehlermeldung wäre ich ja nach 5 Minuten fertig gewesen.

Falls Euch auch mal so ein Fehler unterläuft.

Stefan
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 672576

Url: https://administrator.de/forum/keine-hilfreiche-fehlermeldung-bei-ssl-verbindung-wenn-die-crl-expired-ist-672576.html

Ausgedruckt am: 13.05.2025 um 11:05 Uhr

michi1983
michi1983 22.04.2025 um 19:16:22 Uhr
Goto Top
Hallo,

ist der Parameter
SSLCARevocationCheck strict
auf dem Apache denn überhaupt gesetzt?

Gruß
StefanKittel
StefanKittel 22.04.2025 aktualisiert um 21:10:02 Uhr
Goto Top
Hallo Michi,

das ist die ssl-config aus der vHost-Datei.

	SSLEngine on
SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
SSLVerifyDepth 10
SSLCertificateFile /var/hosting/certificates/xxxxcrt
SSLCertificateKeyFile /var/hosting/certificates/xxxx.key
SSLCACertificateFile /etc/ssl/myCA/certs/ca.crt
SSLVerifyClient optional
#SSLVerifyClient require
SSLVerifyDepth 10
SSLOptions +StdEnvVars +ExportCertData
SSLCARevocationFile /etc/ssl/myCA/crl/myCA.crl
SSLCARevocationCheck chain

SSLVerifyClient steht auf optional.
Damit fragt der Browser trotzdem, aber wenn man nichts auswählt erscheint eine "hübsche" HTML-Seite.

Stefan
michi1983
michi1983 23.04.2025 um 00:14:27 Uhr
Goto Top
Hm, aber die Frage auf meine Antwort wäre „nein“ gewesen, oder?

Stelle doch mal den von mir genannten Parameter auf strict und schaue ob dann etwas aussagekräftiges im Log stehen würde.