• BOINC: mehrere Projekte wegen ungültiger SSL-Zertifikatskette nicht erreichbar

    von
    pschoefer
    Veröffentlicht: 30.09.2021 20:15
    Am Nachmittag des 30. September 2021 ist ein weiteres für die abgesicherte (https-)Kommunikation zwischen dem BOINC-Client und verschiedenen Projektservern wichtiges SSL-Zertifikat abgelaufen. Soweit bisher bekannt, sind daher folgende Projekte derzeit nicht erreichbar:
    • Amicable Numbers
    • climateprediction.net
    • Collatz Conjecture
    • GPUGRID
    • iThena
    • ODLK/ODLK1
    • SiDock@home
    • SRBase
    • WUProp@home

    Der Versuch, mit den Servern dieser Projekte Kontakt aufzunehmen, scheitert auf betroffenen Rechnern mit der Fehlermeldung "Scheduler request failed: Peer certificate cannot be authenticated with given CA certificates". Bei einigen weiteren Projekten (PrimeGrid, Universe@Home, YAFU, yoyo@home) können bereits angemeldete Rechner zwar problemlos die Server erreichen, die Anmeldung neuer Rechner schlägt jedoch fehl.

    Zwar haben die betroffenen Projekte bereits auf eine gültige Zertifikatskette umgestellt, weshalb ihre Webseiten problemlos per Browser erreichbar sind; jedoch wird zusätzlich auch noch die alte Zertifikatskette mit dem ungültigen Zertifikat angegeben, was dem BOINC-Client Probleme bereitet.

    Das Problem betrifft vor allem Windows-Rechner und wird dort mit der (derzeit noch im Test befindlichen) BOINC-Version 7.16.20 (Download: https://boinc.berkeley.edu/dl/boinc_...ows_x86_64.exe) vorerst gelöst. Für ältere Clients gibt es folgende Übergangslösung:

    Windows
    Das abgelaufene Zertifikat kann mit einem einfachen Texteditor aus der Zertifikatsammlung ca-bundle.crt im BOINC-Programmverzeichnis (standardmäßig C:\Program Files\BOINC) entfernt werden (ggf. sind Administratorenrechte erforderlich). Zu löschen ist der komplette Eintrag DST Root CA X3 von -----BEGIN CERTIFICATE----- bis einschließlich -----END CERTIFICATE----- (Zeilen 571-589 in der mit BOINC 7.6.11 mitgelieferten Version).

    Eine bereits angepasste Version der ca-bundle.crt kann hier heruntergeladen werden: https://raw.githubusercontent.com/BO.../ca-bundle.crt

    Linux
    Hier verwendet BOINC je nach Distribution und Version unterschiedliche systemweite Zertifikatsammlungen, mit denen das Problem möglicherweise auch gar nicht auftritt. Falls das alte Zertifikat entfernt werden muss, lauten die entsprechenden Befehle für Debian-basierte Distributionen wie Ubuntu:
    Code:
    sudo sed -i 's/mozilla\/DST_Root_CA_X3/!mozilla\/DST_Root_CA_X3/' /etc/ca-certificates.conf
sudo update-ca-certificates
    Ursprünglich wurde dieser Artikel in diesem Thema veröffentlicht: abgelaufenes SSL-Zertifikat verhindert Kontakt zu mehreren Projekten - Erstellt von: pschoefer Original-Beitrag anzeigen
    1. Kategorien:
    2. Projekte
    Stichworte: boinc, ca-bundle, ssl, zertifikat
Single Sign On provided by vBSSO