Curl-Fehler durch fehlendes Zertifikat

[stgoldmann]

Hallo,

nach Update auf 4.3.5 habe ich versucht auch die Zusatzmodule Rechnung und Lieferschein ebenfalls auf die neue Version upzudaten.

Die Fehlermeldung lautet (Root Verzeichnisse ausge-xt):

Allgemeiner Fehler: cURL error 60: SSL certificate problem: certificate has expired
#0 wpsg\Exceptionhandler::exception(Exception Object ([*message] => cURL error 60: SSL certificate problem: certificate has expired,[Exceptionstring] => Exception: cURL error 60: SSL certificate problem: certificate has expired in /xxx/html-data/wp-content/plugins/wpshopgermany-free/controller/wpsg_SystemController.class.php:194
Stack trace:
#0 /xxx/html-data/wp-content/plugins/wpshopgermany-free/controller/wpsg_AdminController.class.php(2724): wpsg_SystemController->get_url_content()
#1 /xxx/html-data/wp-content/plugins/wpshopgermany-free/controller/wpsg_AdminController.class.php(675): wpsg_AdminController->installModul()
#2 /xxx/html-data/wp-content/plugins/wpshopgermany-free/controller/wpsg_AdminController.class.php(56): wpsg_AdminController->registrierungAction()
#3 /xxx/html-data/wp-content/plugins/wpshopgermany-free/lib/filter_functions.inc.php(14): wpsg_AdminController->dispatch()
#4 /xxx/html-data/wp-includes/class-wp-hook.php(303): wpsg_dispatch()
#5 /xxx/html-data/wp-includes/class-wp-hook.php(327): WP_Hook->apply_filters()
#6 /xxx/html-data/wp-includes/plugin.php(470): WP_Hook->do_action()
#7 /xxx/html-data/wp-admin/admin.php(259): do_action()
#8 {main},[*code] => 0,[*file] => /xxx/html-data/wp-content/plugins/wpshopgermany-free/controller/wpsg_SystemController.class.php,[*line] => 194,[Exceptiontrace] => Array ([0] => Array ([file] => /xxx/html-data/wp-content/plugins/wpshopgermany-free/controller/wpsg_AdminController.class.php,[line] => 2724,[function] => get_url_content,[class] => wpsg_SystemController,[type] => ->),[1] => Array ([file] => /xxx/html-data/wp-content/plugins/wpshopgermany-free/controller/wpsg_AdminController.class.php,[line] => 675,[function] => installModul,[class] => wpsg_AdminController,[type] => ->),[2] => Array ([file] => /xxx/html-data/wp-content/plugins/wpshopgermany-free/controller/wpsg_AdminController.class.php,[line] => 56,[function] => registrierungAction,[class] => wpsg_AdminController,[type] => ->),[3] => Array ([file] => /xxx/html-data/wp-content/plugins/wpshopgermany-free/lib/filter_functions.inc.php,[line] => 14,[function] => dispatch,[class] => wpsg_AdminController,[type] => ->),[4] => Array ([file] => /xxx/html-data/wp-includes/class-wp-hook.php,[line] => 303,[function] => wpsg_dispatch),[5] => Array ([file] => /xxx/html-data/wp-includes/class-wp-hook.php,[line] => 327,[function] => apply_filters,[class] => WP_Hook,[type] => ->),[6] => Array ([file] => /xxx/html-data/wp-includes/plugin.php,[line] => 470,[function] => do_action,[class] => WP_Hook,[type] => ->),[7] => Array ([file] => /xxx/html-data/wp-admin/admin.php,[line] => 259,[function] => do_action)),[Exceptionprevious] => ))

Laut meinem Service-Provider liegtd as Problem an einem Open SSL Bug auf der Gegenseite:
https://serverfault.com/questions/10791 ... rypt-issue

im Augenblick kann ich keine Rechnungen stellen. Eine schnelle Prüfung würde ich mich freuen.

Viele Grüße

Stephan

[maennchen1.de]

Hallo!
Danke für die vielen Infos!
Die o.g. Fehlermeldung kommt, wenn das Root-Zertifikat für LetsEncrypt veraltet ist. Laut unseren Technikern ist das nicht der Fall. Wir setzen auch kein Debian 9 oder eine veraltete OpenSSL Version auf unseren Servern ein, wie in der o.g. Anleitung beschrieben (danke für den Link!).

Vornweg: Du kannst das Modul auch manuell herunter laden und installieren:
https://dl.maennchen1.de/wpsg4/wpsg_mod ... latest.zip

Uns würde es aber dennoch helfen, wenn du oder dein Service Provider auf der Konsole deines Servers folgenden Befehl ausführen könntest:

Code: Alles auswählen

curl -I https://dl.maennchen1.de/wpsg4/wpsg_mod_rechnungen/wpsg_mod_rechnungen_latest.zip

Die Ausgabe sollte dann so aussehen:

Code: Alles auswählen

root@server1 ~ # curl -I https://dl.maennchen1.de/wpsg4/wpsg_mod_rechnungen/wpsg_mod_rechnungen_latest.zip
HTTP/2 200 
server: nginx
date: Mon, 04 Oct 2021 14:48:28 GMT
content-type: application/zip
content-length: 216533
x-accel-version: 0.01
last-modified: Mon, 27 Sep 2021 07:27:22 GMT
etag: "34dd5-5ccf507268a98"
accept-ranges: bytes
x-powered-by: PleskLin

Sollte die Ausgabe sich unterscheiden, poste sie bitte hier.

[maennchen1.de]

Ich habe noch weiteres Feedback von der Technik bekommen:

Wir haben einen alten Debian 7 Server gefunden, mit welchem wir deine Fehlermeldung auf der Konsole reproduzieren konnten:

Code: Alles auswählen

root@server-alt:~# curl -I https://dl.maennchen1.de/wpsg4/wpsg_mod_rechnungen/wpsg_mod_rechnungen_latest.zip
curl: (60) SSL certificate problem: certificate has expired
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

Um das zu fixen genügt es das Zertifikat "DST Root CA X3" zu deaktivieren. Gib einfach folgendes auf der Konsole des Servers ein:

Code: Alles auswählen

sudo dpkg-reconfigure ca-certificates

Und dort nach "mozilla/DST_Root_CA_X3.crt" suchen. Dieses darf nicht aktiviert sein.
Danach klappt es auch auf dem alten Server.

Wenn ich das richtig übersetze, dann scheint der Fehler an deinem Server zu liegen, welcher noch ein altes Zertifikat zur Verifizierung nutzt. Vielleicht hilft dir das?

[stgoldmann]

HI,

danke Dir, ich gebe das mal an den Provider weiter.

Viele Grüße

Stephan

[stgoldmann]

Provider sagt:
---
Ursache ist, dass
a) Letsencrypt seltsames Cross-Signing-Vodoo mit seinen Zertifikaten betreibt, um auch noch für Uralt-Apple-Geräte kompatibel zu sein
b) Openssl in den Versionen bis rauf zu Debian 9 einen Bug beim Verifizieren dieses Cross-Signing hat (das betrifft aber bei weitem nicht nur Debian, sondern openssl 1.0x ist als SSL-Bibliothek in ziemlich allem drin von Ubuntu über diverse Router bis hin zum IoT-Kühlschrank)
c) Das eine er beiden Letsencrypt Root-Zertifikate (eben das "DST_Root_CA_X3") am 30.9. ausgelaufen ist, während Letsencrypt auch die aktuellsten Zertifikate immer noch mit diesem Cert unterschrieben hat
d) Wordpress mal wieder seinen eigenen Mist machen muss und deshalb für bestimmte Funktionen (wp_get_url) nicht die Standard-System-CA
verwendet, sondern die Zertifikate aus ..../wp-includes/certificates/ca-bundle.crt - die man also auch noch manuell patchen muss.
---

Soderla, vielleicht hilft es ja Euren Technikern. Da ich immer nur zwischen Technikern Bande spiele, betrachte ich das Thema hier mal als für mich gelöst. Danke Euch.

[maennchen1.de]

Wenn ich es richtig verstanden habe, konnte dein Provider das Problem lösen. Freut mich!