Ergebnis 1 bis 6 von 6
  1. Avatar von pschoefer
    Titel
    Esel

    Bewertung

    Registriert am
    07.07.2007

    Ort
    Osterode / Göttingen

    Beiträge
    15.695

    Danke
    Danke gesagt 152   Danke erhalten 1.715

    #1

    Ausrufezeichen abgelaufenes SSL-Zertifikat verhindert Kontakt zu mehreren Projekten

    Am 30. Mai 2020 ist ein für die abgesicherte (https-)Kommunikation zwischen dem BOINC-Client und verschiedenen Projektservern wichtiges SSL-Zertifikat abgelaufen. Soweit bisher bekannt, sind folgende Projekte betroffen:
    • LHC@home
    • NumberFields@home
    • Rosetta@home

    Der Versuch, mit den Servern dieser Projekte Kontakt aufzunehmen, scheitert auf betroffenen Rechnern mit der Fehlermeldung "Scheduler request failed: Peer certificate cannot be authenticated with given CA certificates". Leider liegt das Problem auf Seite des Clients, sodass die Projektteilnehmer selbst eingreifen müssen. Die Workarounds bis zur Veröffentlichung einer neuen Version des BOINC-Clients unterscheiden sich je nach Betriebssystem:

    Windows
    Die Zertifikatsammlung ca-bundle.crt liegt im BOINC-Programmverzeichnis (standardmäßig C:\Program Files\BOINC). Diese kann einfach durch diese neue Version ersetzt werden: https://raw.githubusercontent.com/BO.../ca-bundle.crt

    Wer dem Urheber der verlinkten neuen Version nicht vertraut, kann mit einem einfachen Texteditor auch selbst das abgelaufene Zertifikat aus der ca-bundle.crt entfernen (ggf. sind Administratorenrechte erforderlich). Zu löschen ist der komplette Eintrag "AddTrust External Root" von -----BEGIN CERTIFICATE----- bis einschließlich -----END CERTIFICATE----- (Zeilen 149-175).

    Wer eine sehr alte BOINC-Version (älter als 7.9.x) verwendet, muss außerdem das neue Zertifikat in die ca-bundle.crt einfügen, welches hier zu finden ist: https://crt.sh/?d=1720081

    Linux
    Hier verwendet BOINC je nach Distribution und Version unterschiedliche systemweite Zertifikatsammlungen, mit denen das Problem möglicherweise auch gar nicht auftritt. Falls das alte Zertifikat entfernt werden muss, lauten die entsprechenden Befehle für Debian-basierte Distributionen wie Ubuntu:
    Code:
    sudo sed -i 's/mozilla\/AddTrust_External_Root/!mozilla\/AddTrust_External_Root/' /etc/ca-certificates.conf
    sudo update-ca-certificates
    Geändert von pschoefer (31.05.2020 um 22:34 Uhr)
    Gruß
    Patrick

    "Zusammenkommen ist ein Beginn, Zusammenbleiben ein Fortschritt, Zusammenarbeiten ein Erfolg." [H. Ford]

  2. Die folgenden 2 Benutzer haben sich bei pschoefer bedankt für diesen nützlichen Beitrag:

    nexiagsi16v (01.06.2020), Stiwi (01.06.2020)

  3. Avatar von pschoefer
    Titel
    Esel

    Bewertung

    Registriert am
    07.07.2007

    Ort
    Osterode / Göttingen

    Beiträge
    15.695

    Danke
    Danke gesagt 152   Danke erhalten 1.715

    #2

    Standard

    Ein wenig technischer Hintergrund: Das konkrete Problem ist offenbar ein Zwischenzertifikat, mit welchem ein früher noch nicht so weit verbreitetes Wurzelzertifikat noch durch das nun abgelaufene Zertifikat als vertrauenswürdig zertifiziert wird (ausführliche Erklärung: https://www.agwa.name/blog/post/fixi...oot_expiration). Moderne Browser erkennen schon ein gültiges Wurzelzertifikat in der Zertifizierungskette und stören sich daher nicht an dem abgelaufenen Endpunkt, aber für das von BOINC verwendete OpenSSL 1.0.x ist durch den abgelaufenen Endpunkt die komplette Kette ungültig. Entsprechend gibt es doch auch eine serverseitige Lösung, nämlich das problematische Zwischenzertifikat nicht mehr mitzuschicken. Rosetta@home hat diese Anpassung gestern Abend vorgenommen, sodass das Problem dort jetzt nicht mehr auftritt; LHC@home und NumberFields@home funktionieren weiterhin nur mit dem Workaround.

    Für Windows-Nutzer (nur 64-Bit) gibt es inzwischen eine weitere Möglichkeit, das Problem zu umgehen: In der vergangenen Nacht wurde BOINC 7.16.7 veröffentlicht (direkter Download-Link: https://boinc.berkeley.edu/dl/boinc_...ows_x86_64.exe), einzige Änderung gegenüber 7.16.5 ist die aktualisierte ca-bundle.crt.
    Gruß
    Patrick

    "Zusammenkommen ist ein Beginn, Zusammenbleiben ein Fortschritt, Zusammenarbeiten ein Erfolg." [H. Ford]

  4. Avatar von walli
    Titel
    Full Member

    Bewertung

    Registriert am
    12.06.2016

    Ort
    Bochum

    Beiträge
    220

    Danke
    Danke gesagt 3   Danke erhalten 5

    #3

    Standard

    Bei LHC@home habe man dies laut eigener Aussage mittlerweile ebenfalls serverseitig gefixt.

  5. Avatar von pons66
    Titel
    SG aktiv

    Bewertung

    Registriert am
    25.07.2012

    Ort
    Stuttgart

    Beiträge
    2.459

    Danke
    Danke gesagt 133   Danke erhalten 155

    #4

    Standard

    Zitat Zitat von walli Beitrag anzeigen
    Bei LHC@home habe man dies laut eigener Aussage mittlerweile ebenfalls serverseitig gefixt.
    Bei mir leider nicht.

    Zitat Zitat von pschoefer Beitrag anzeigen
    Wer dem Urheber der verlinkten neuen Version nicht vertraut, kann mit einem einfachen Texteditor auch selbst das abgelaufene Zertifikat aus der ca-bundle.crt entfernen (ggf. sind Administratorenrechte erforderlich). Zu löschen ist der komplette Eintrag "AddTrust External Root" von -----BEGIN CERTIFICATE----- bis einschließlich -----END CERTIFICATE----- (Zeilen 149-175).
    Mit LHC und NF hat das Löschen in der crt-Datei ebenso nicht funktioniert. Das Aufspielen von BM 7.16.7 wollte ich noch nicht.

    Nach Download der von NF präferierten crt-Datei funktionieren die "kompromittierten" Projekte.
    i7-5820K, 4,2 Ghz, WaKü, 16 GB DDR4, SSD 250 GB, 2 TB SATA, Win10 Home 64, 2 x GTX 970 (Cuda 388.13), Boinc 7.14.2
    i7-3930K, 3,8 Ghz, WaKü, 16 GB DDR3, 1 TB SATA, Win10 Pro 64, EVGA GTX 680 FTW, ASUS GTX 660 Ti DCU II OC (Cuda 419.17), Boinc 7.14.2

  6. Avatar von AxelS
    Titel
    Gold Member

    Bewertung

    Registriert am
    28.12.2007

    Beiträge
    1.838

    Danke
    Danke gesagt 230   Danke erhalten 0

    #5

    Standard

    Ich habe von einer Linux-Maschine das File /etc/ssl/certs/ca-certificates.crt auf die Windows-Maschine transferiert, unbenannt zu ca-bundle.crt und ins Programm-Verzeichnis von BOINC kopiert.

    Zitat Zitat von pons66 Beitrag anzeigen
    Mit LHC und NF hat das Löschen in der crt-Datei ebenso nicht funktioniert. Das Aufspielen von BM 7.16.7 wollte ich noch nicht.

    Nach Download der von NF präferierten crt-Datei funktionieren die "kompromittierten" Projekte.
    Respekt! Da hast aber einer nicht vertrauenswürdigen Quelle einer Datei die im OneDrive von irgend eines Users in der Welt mehr vertraut als die offiziellen Downloads-Seiten von BOINC. Selbstverständig kann man nach Install der 7.16.7 das cert-File woanderst hin kopieren und dann anschliesend die alte Client-Version wieder zu installieren.

    Man muß nur hier auf dem Server genauer umsehen um die gewollte Client-Version zu finden.

  7. Avatar von No_Name
    Titel
    ist hier zu Hause

    Bewertung

    Registriert am
    27.01.2017

    Ort
    Emsland

    Beiträge
    2.935

    Danke
    Danke gesagt 64   Danke erhalten 38

    #6

    Standard

    Der ganze Spaß hat mich leider einen ganzen Haufen Atlas WUs gekostet

    Nun läuft es ja wie walli schon schrieb ohne Änderungen wieder.
    MfG No_Name alias trebotuet
    Zitat Zitat von shka Beitrag anzeigen
    PS: Ich gehe davon aus, dass du uns keine der Lösung dienlichen Hinweise aus dem Meldungs-Log verschweigst, nur um den Schwierigkeitsgrad der Lösungsfindung künstlich zu erhöhen.
    Der Rechenknecht . . . . . . . . . Stats . . . . . . . . . Badges

Ähnliche Themen

  1. Eine GPU mit mehreren Instanzen nutzen
    Von Gaucho im Forum Software - Installation, Probleme usw.
    Antworten: 0
    Letzter Beitrag: 16.04.2019, 18:42
  2. Antworten: 1
    Letzter Beitrag: 02.03.2016, 23:35
  3. Exchange 2010 und Zertifikat
    Von Caveman im Forum Software - Installation, Probleme usw.
    Antworten: 2
    Letzter Beitrag: 29.08.2011, 12:31
  4. Zertifikat-Problem bei WCG und andere Dinge
    Von Carnal im Forum World Community Grid
    Antworten: 25
    Letzter Beitrag: 29.04.2011, 20:37
  5. Teilnehmer-Zertifikat...
    Von RealSanta im Forum Rectilinear Crossing Number (Mathematik)
    Antworten: 2
    Letzter Beitrag: 13.03.2009, 20:57

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Single Sign On provided by vBSSO