Louw Post schreef op donderdag 20 juni 2024 @ 09:07:
Zijn er mensen met sunnyusenet die ook een certificaat foutmelding krijgen bij het gebruik van SSL (in sabnzbd)?
[...]
Vorig jaar ook eens gehad, maar toen was het opgelost na een update van sabnzbd, maar ik draai de laatste versie in dit geval al. Ook een paar weken terug had ik deze melding, dat was in het weekend en was na een paar dagen weer goed. Nu heb ik het issue ook al sinds het weekend.
Alleen poortjes 443 & 563 ondersteunen TLS/SSL.
Als dit volgende keer optreedt zou je met onder kunnen controleren of het een cert probleem is (poortje
563 in voorbeeld onder):
$ openssl s_client -connect news.sunnyusenet.com:563 </dev/null 2>/dev/null | openssl x509 -noout -text | grep 'Subject:.* CN =\|Alternative Name\|DNS:\|Not '
Not Before: May 27 06:12:27 2024 GMT
Not After : Aug 25 06:12:26 2024 GMT
Subject: CN = sunnyusenet.com
X509v3 Subject Alternative Name:
DNS:*.sunnyusenet.com, DNS:sunnyusenet.com
En zonder redirect:
$ openssl s_client -connect news.sunnyusenet.com:563 </dev/null
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = sunnyusenet.com
verify return:1
---
Certificate chain
0 s:CN = sunnyusenet.com
i:C = US, O = Let's Encrypt, CN = R3
a:PKEY: rsaEncryption, 4096 (bit); sigalg: RSA-SHA256
v:NotBefore: May 27 06:12:27 2024 GMT; NotAfter: Aug 25 06:12:26 2024 GMT
1 s:C = US, O = Let's Encrypt, CN = R3
i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Sep 4 00:00:00 2020 GMT; NotAfter: Sep 15 16:00:00 2025 GMT
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=CN = sunnyusenet.com
issuer=C = US, O = Let's Encrypt, CN = R3
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 3665 bytes and written 406 bytes
Verification: OK
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 4096 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
DONE
Het lijkt mij namelijk sterk dat dit een SABnzbd probleem is.
Zeker weten doe ik niet maar met Eweka heb ik nog nooit een cert probleem ervaren met SABnzbd:
$ openssl s_client -connect news.eweka.nl:563 </dev/null 2>/dev/null | openssl x509 -noout -text | grep 'Subject:.* CN =\|Alternative Name\|DNS:\|Not '
Not Before: May 27 06:09:33 2024 GMT
Not After : Aug 25 06:09:32 2024 GMT
Subject: CN = eweka.nl
X509v3 Subject Alternative Name:
DNS:*.am4.eweka.nl, DNS:*.ams4.eweka.nl, DNS:*.eweka.nl, DNS:eweka.nl
EDIT: Ow wat belangrijk is met TLS/SSL is dat je lokale datum/tijd goed staat!
Als deze teveel afwijkt krijg je ook een cert error:
$ openssl s_client -brief -connect news.sunnyusenet.com:563 </dev/null
[..]
Verification: OK
$ sudo timedatectl set-ntp 0
$
$ sudo timedatectl set-time "2024-05-20 00:00:01"
$
$ openssl s_client -brief -connect news.sunnyusenet.com:563 </dev/null
[..]
Verification error: certificate is not yet valid
[
Voor 4% gewijzigd door
deHakkelaar op 20-06-2024 22:08
]
There are only 10 types of people in the world: those who understand binary, and those who don't