kann nicht sagen, ob das bei jemandem von euch relevant ist/sein wird.
Ich hatte am Wochenende auf einer Maschine mit einem (aktuellen) dehydrated-skript ein update eines LE-Zertifikates.
Danach tat der E-Mail-Server (postfix) und der IMAP-Server (dovecot) nicht mehr. Apache2 tat noch.
Händisch mit certbot neu geholte Zertifikate funktionierten auch nicht.
Ebenso ein paar Tests mit unterschiedlichen ciphers.
Sehr vage sehe ich einen Zusammenhang zu ubuntu 16.04, weil das sonst wohl keiner mehr auf Produktionsmaschinen hat. Irgendwas hat LE wohl umgestellt/abgeschafft.
Jetzt hab ich eben 30 Tage Zeit upzugraden.
Falls bei euch in den nächsten Wochen Probleme auftauchen,vllt. findet man ja the root-cause.
ich vermute, dass es das gleiche Problem wie auf meiner 20.04 Maschine ist, das ich am Wochenende hatte (was man halt so macht nach einem Deutschlandspiel … letzencrypt wieder richten).
Bei mir tat das Aktualisieren nicht mehr (certbot-auto).
Das sagte beim Versuch auch „ätschibätsch, ich mach das nicht mehr“.
Recherche ergab:
weil wohl andauernd die Protokolle und Bibliotheken und die Handshakes und milchshakes angepaßt werden müssen, ist denen das updaten von certbot außerhalb von snap zu doof geworden, weswegen das nciht mehr supportet wird. Es gibt also keine Updates mehr dafür (seit ca. Dez 2020).
Und jetzt ist halt wohl schluss: das alte Ding geht nicht mehr, weil es irgend einen neuen Mechanismus nicht kann …
Weitere Recherche erbrachte: man solle den certbot deinstallieren und den snap certbot installieren.
Anleitung war schnell gefunden … aber eigentlich wollte ich kein snap auf dem Server haben … weil ich bisher nicht einsah, was mir das da bringen soll.
Also hielt ich inne und dachte nach …
… dann kam ich zu dem Ergebnis: die nehmen snap, weil es (in meinem Kopf) sowas ist wie „docker“: da bringt jedes „snap“ alle seine Abhängigkeiten mit und wenn man das aktualisiert, dann ist das isoliert vom restlichen System … schlau … so gesehen.
Meine Warte: ich will nichts unnötiges auf dem Server haben ist aber halt auch nicht doof… aber jetzt war es ja nicht mehr unnötig: es ergibt aus letzencrypt Sicht durchaus Sinn.
Also hab ich snap installiert und dann das snap installiert und voila: alles funktionierte wieder.
Hi Holger,
wenn wir dem gleichen Phänomen auf der Spur sind (mit deiner Lösung parat natürlich), dann gilt das vermutlich für viele User und wird hier in den nächsten 30 Tage häufiger aufschlagen.
Wer auch immer sich um ein „linuxmuster-dehydrated“ kümmert bzw. es im Einsatz hat (ich), wird dann auch eine Lösung finden müssen (bzw. abwarten, ob upstream sich eine Lösung generiert).
LG, Tobias
also unter meinem Ubuntu 20.04 ist Dehydrated aus den Paketquellen installiert (imho 0.65).
Da lief zuletzt am 10.06.2021 die Aktualisierung der Zertifikate erfolgreich durch.
Und der tägliche Check, ob die Aktualisierung nötig ist, läuft auch ohne Fehlermeldungen.
mein dehydrated ist aus git (letzter commit April 12,2021) - ich vermute mindestens genauso aktuell wie deines
das erneuerte SSL-Zert hat auch unter Apache kein PRoblem gegeben, bei mir war nur als E-Mail-Server (selbes Zertifikat) der Wurm drin.
kann ich mir immer noch gut vorstellen, dass es darauf ankommt, welche cipher erlaubt werden und welcher dann versucht wird auszuhandeln… da will ich gar nicht ins Detail einsteigen…
also kann auch gut sein, dass es bei euch (vorerst) keine Probleme gibt.