Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / crl.pem, updater
- - Od Nabla128k Dne 2016-03-18 11:05
Ahoj,
nějak mi (podle mě bez mého přičinění) přestala chodit aktualizace sw. Problém je asi s crl.pem.
Soubor jsem vymazal
echo > /tmp/crl.pem

tohle get-api-crl proběhne
ale tohle
updater.sh -n
už ne...
rl: (82) error loading CRL file: /etc/ssl/crl.pem

ten symlink do /tmp/crl.pem tam je (smazal jsem ho a vyrobil znovu)
nevím... nehrál jsem si s tím...

zkoušel jsem i stáhnout crl.pem ručně a dát ho do tmp, ale stejně to nefunguje:

unable to load CRL
1207993416:error:0D0680A8:lib(13):func(104):reason(168):NA:0:
1207993416:error:0D07803A:lib(13):func(120):reason(58):NA:0:Type=X509_CRL
Collected errors:
* opkg_download: Failed to download CRL, get-api-crl returned 1.

Díky za pomoc
Nadřazený - - Od Michal Vaner (>>) Dne 2016-03-18 11:27 Hlasů 1
Dobrý den

Problém můžu potvrdit a už se tu z něj v kanceláři pár hodin velmi radujeme. Časem podám nějaké technické detaily, zatím dvě rady (všem): Vyčkejte, připravujeme opravu. A router, pokud možno, nerestartujte, neodpojujte od proudu a nedělejte factory reset. Tyto věci nepomohou, naopak opravu to ztíží. Oprava by měla být k dispozici během dneška.
Nadřazený - - Od Michal Vaner (>>) Dne 2016-03-18 12:33
Tak tedy, ty slíbené detaily.

Při otvírání SSL/TLS spojení je třeba kontrolovat certifikát protistrany. Ten jednak musí být podepsán důvěryhodnou autoritou, ale také nesmí být svou autoritou označený za neplatný (tuto kontrolu mnoho programů ignoruje, což je však špatně). K tomu druhému slouží certifikační revokační seznamy (CRL) a jsou vydávané danou autoritou.

V Turrisu je kontrola CRL vyžadovaná, ale protože to skoro nic neumí, stahujeme si je skriptem sami. A během včerejška naše certifikační autorita změnila formát (aniž by nám o tom dala vědět a ještě nevíme, jestli jen omylem, nebo záměrně), ve kterém je zveřejňuje. Proto stažení toho seznamu přestalo fungovat. Starý seznam je většinou ponechán a má platnost asi týden, takže bychom měli stihnout zveřejnit opravu a ta by se většině lidí měla nainstalovat sama. Bohužel, pokud router přijde o staženou verzi, neumí si stáhnout novou a neumí si ani stáhnout opravu. A restartem se ta stažená verze smaže.

Jakmile bude k dispozici oprava, připravím nějaký návod, jak si méně šťastní lidé budou moci nainstalovat opravu ručně.

Za nepříjemnosti se omlouvám, s touto zradou od CA jsme nějak nepočítali.
Nadřazený - - Od Nabla128k Dne 2016-03-18 13:31
Zajímavé je, že nejmíň měsíc jsem na router nesáhl ani jsem ho nerestartoval a stejně aktualizace neprošla (chápal bych to tak, že starý seznam měl být v platnosti).
Taková drobnost, ale nešlo by zveřejnit někde ten starý seznam v ještě platném formátu (někde asi bude, minimálně v některém turrisu) a ten jen ručně routeru podstrčit, aby to prozatím chodilo? Chápu, že to zrovna moc čisté není... A nebo si vygenerovat ten crl seznam sám, prázdný...
Nadřazený - - Od Michal Vaner (>>) Dne 2016-03-18 14:21
Právě jsem zjistil, že sice platný je, ale při aktualizaci se rozhodne, že už není úplně nejčerstvější a že si ho radši stáhne znovu. A na tom spadne a dál nepokračuje :-(.

Možností, jak se s problémem vypořádat ručně je více (v případě ještě platného CRL, což by měl být váš případ, by například stačilo vyprázdnit skript na stáhnutí toho CRL ‒ nespadne, zůstane tam ten starý, se kterým už update projde a snad už se brzy dokompiluje ta oprava). Stejně tak připravíme jednoduchý příkaz, kterým to půjde uvést to funkčního stavu. Zatím jsme ale ještě nevzdali snahu, aby to šlo udělat ve většině případů bez zásahu uživatele.

Každopádně, prázdný seznam se vám vygenerovat nepovede ‒ ten je kryptograficky podepsaný danou autoritou, přesně proto, aby ho někdo nemohl jen tak vyměnit.
Nadřazený - Od Michal Vaner (>>) Dne 2016-03-18 16:04
Takže, novinky. Komunikujeme s certifikační autoritou a máme přislíbeno, že to změní alespoň na chvíli zpět. Zatím nemáme žádný časový odhad, ale znamenalo by to, že se to vyřeší samo.

Pokud je pro vás jediným problémem naskakující čas výpadků, pak bych navrhoval, ať to prozatím necháte být, výpadky bychom nějak dořešili (pravděpodobně vymazáním).
Nadřazený - - Od cayda90 Dne 2016-03-18 22:14
Aha, tak bohužel jsem zrovna před chvílí provedl factory reset a teď teprve zjistil, že je tento problém :( doufám, že se podaří problém úspěšně vyřešit :)
Nadřazený - - Od Michal Vaner (>>) Dne 2016-03-21 09:54
Dobrý den

Autorita už vrací nějakou chvíli zase původní formát, snad už se to zpropagovalo do všech jejich mirrorů, takže by to mělo fungovat. Pokud by u vás problém přetrvával, tak se ozvěte.
Nadřazený - Od cayda90 Dne 2016-03-21 10:00
Děkuju, už je všechno ok, Turris se po půlnoci sám aktualizoval :smile:
Nadřazený - - Od Baadvo Dne 2016-03-26 13:47
Dobrý den

Jestli tomu správně rozumím. Tak až bude autorita po nějaké době zas vracet nový formát CRL seznamu.  A já resetuji turrise do továrního nastavení, tak se turris nebude moct aktualizovat?
Je správné řešení když pomocí SD karty flashnu https://goo.gl/WyJ8V7 ? Je v *.iso obraze z 2016-03-18 15:40 aplikovaná oprava počítající s novým formátem CRL?
Nadřazený - Od Michal Vaner (>>) Dne 2016-03-29 10:08
Jednak to vypadá, že ten „nový formát“ autorita neplánovala, že se jim to tam dostalo omylem. Takže to nejspíš vracet ani nebudou.

Za druhé, tato oprava by měla factory reset přežít (podobně jako se ukládají aktualizované certifikáty). Nemusíte se tedy bát.

V novém obraze by měla oprava být (mělo by to 1:1 odpovídat tomu, co je vydané jako nejnovější). Ale od přeflashování z SD karty vás zrazovat nebudu, pokud vám nevadí trocha práce se šroubovákem, tak tím získáte kratší update po factory resetu a (pokud máte turris 1.0, který zatím flashovaný nebyl) spolehlivější filesystém.
Nahoru Téma Majitelé routerů / Technická podpora / crl.pem, updater

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill