planet.debianforum.de - Blog-Sammlung

[encbladexp]

Hi, mein blog.stefan-betz.net wurde auf eine andere Software migriert, jetzt ist versehentlich etwas zu viel hier gelandet. Neue Feed URL wäre: https://blog.stefan-betz.net/categories ... /index.xml

Vielen Dank, und sorry.

[feltel]

... URL ist angepasst.

[thoys]

Hi zusammen,
ich habe bei mir aufgeräumt. Jetzt gibt es nur noch https://vierzweidrei.de/feed/
hiermit bitte ich diesen unter Thoys in den debianforum Planet aufzunehmen.

Danke dir für das und die stetige Pflege des Planeten
Thoys

[feltel]

URL ist angepasst und willkommen zurück im Planeten.

[whisper]

Der Feed von inne ist kaputt, scheinbar.
STEFFEN RUMBERGER (INNE)
Ich bekomme https://localhost/flatpress/ als URL, bei seinen Beiträgen

[inne]

Ok danke, sollte behoben sein.
Hatte da was rumspielt und ein Backup neu aufgesetzt. Und dann vergessen die URL in den Einstellungen zu ändern.
Artikel und Kommentare sollte aber alle überlebt haben

[bommi]

Hallo,

es wäre nett wir ihr die neue URL zu meinen Blog aufnehmen könntet und die alte URL entfernt.

Neue Domain:
HTTP-URL: http://kupschke.eu/blog/
Feed-URL: http://kupschke.eu/blog/feed

Alte Domain:
HTTP-URL: http://kupschke.net/blog/
Feed-URL: http://kupschke.net/blog/?feed=rss2

MfG
bommi

[feltel]

die URL ist angepasst, aber lt. den Metadaten ist die Feed-URL https://kupschke.eu/feed/.

[thoys]

Es tut sich viel im Leben.
Meine neue URL ist
https://medienberater.info/feed/

An dieser Stelle vielen Dank für die Pflege des Planeten, ist immer wieder spannend.
Grüße Thoys

[whisper]

Der Planet zeigt momentan nur Beiträge vom Mai.
ist was defekt?

[whisper]

push

[Stefan]

Hallo, könntest du meinen Blog,

https://blog.fahl-secure.de/
https://blog.fahl-secure.de/index.xml
hinzufügen?.

VG Stefan

[whisper]

Geht nur mir das so?

Code: Alles auswählen

https://planet.debianforum.de/rss20.xml
cURL error 60: SSL certificate problem: unable to get local issuer certificate (see https://curl.haxx.se/libcurl/c/libcurl-errors.html) for https://planet.debianforum.de/rss20.xml

weder news in nextcloud noch lifrea kommen zurecht, auch mit den anderen feeds. Sieht nach veralteten Cert aus

[bommi]

Ja, ich bekomme hier die selben Zertifikatsprobleme

[whisper]

Allerdings ist merkwürdig, dass der direkte Aufruf von
https://planet.debianforum.de/rss20.xml
keinen Fehler zeigt.
wget und curl meckern aber

Code: Alles auswählen

wget https://planet.debianforum.de/rss20.xml
--2025-02-18 08:57:52--  https://planet.debianforum.de/rss20.xml
Auflösen des Hostnamens planet.debianforum.de (planet.debianforum.de)… 2a01:4f8:261:4fe1::2, 142.132.203.155
Verbindungsaufbau zu planet.debianforum.de (planet.debianforum.de)|2a01:4f8:261:4fe1::2|:443 … verbunden.
FEHLER: Dem Zertifikat von »planet.debianforum.de« wird nicht vertraut.
FEHLER: Das Zertifikat von »»planet.debianforum.de«« hat keinen bekannten Austeller.
bed@p15:~/Scripte$ curl https://planet.debianforum.de/rss20.xml
curl: (60) server verification failed: certificate signer not trusted. (CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none)
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the webpage mentioned above.

Vermutlich ist das Problem hier

Code: Alles auswählen

:
openssl s_client -connect planet.debianforum.de:443 -showcerts

Das liefert:

Verify return code: 21 (unable to verify the first certificate)
Extended master secret: no

Mein Kumpel ChatGPT meint dazu:

Hey, der Fehlercode 21 ("unable to verify the first certificate") zeigt an, dass die Zertifikatskette nicht vollständig ist – also vor allem das Intermediate-Zertifikat fehlt. Das bedeutet, der Server liefert nicht die ganze Kette, die zur Verifikation nötig ist.

Hier ein paar Schritte, wie du das angehen kannst:

1. **Serverkonfiguration checken:**
Stell sicher, dass dein Webserver (z. B. Apache, Nginx oder was auch immer du nutzt) das vollständige Chain-Zertifikat sendet. In den meisten Fällen solltest du dafür die Datei `fullchain.pem` verwenden, die sowohl dein Domain-Zertifikat als auch das Zwischenzertifikat enthält.
Falls du Certbot verwendest, wird dir oft empfohlen, die `fullchain.pem` in deiner Konfiguration zu verlinken. Also, schau mal, ob hier eventuell noch das reine `cert.pem` eingebunden ist.

2. **Intermediate-Zertifikat einbinden:**
Wenn der Server nur dein Zertifikat, aber nicht das Zwischenzertifikat sendet, kann der Client (also curl, wget, Liferea oder Nextcloud) die Kette nicht verifizieren. Füge also das fehlende Intermediate-Zertifikat in deine Serverkonfiguration ein.

3. **Extended master secret und Early Data:**
Die Meldung "Extended master secret: no" und "Max Early Data: 0" sind in diesem Kontext eher nebensächlich und beeinflussen die Zertifikatsprüfung nicht. Dein Hauptproblem ist die unvollständige Kette.

4. **Testen:**
Nachdem du die Konfiguration angepasst hast, teste die Seite erneut mit OpenSSL:
```bash
openssl s_client -connect planet.debianforum.de:443 -showcerts
```
Achte darauf, dass jetzt alle Zertifikate in der Kette angezeigt werden und der Verify-Code 0 zurückliefert.

Wenn du diese Punkte durchgehst, sollte sich das Problem beheben lassen. Sag Bescheid, falls du noch Fragen hast oder irgendwo stecken bleibst!

[wanne]

1. **Serverkonfiguration checken:**
Stell sicher, dass dein Webserver (z. B. Apache, Nginx oder was auch immer du nutzt) das vollständige Chain-Zertifikat sendet. In den meisten Fällen solltest du dafür die Datei `fullchain.pem` verwenden, die sowohl dein Domain-Zertifikat als auch das Zwischenzertifikat enthält.
Falls du Certbot verwendest, wird dir oft empfohlen, die `fullchain.pem` in deiner Konfiguration zu verlinken. Also, schau mal, ob hier eventuell noch das reine `cert.pem` eingebunden ist.

2. **Intermediate-Zertifikat einbinden:**
Wenn der Server nur dein Zertifikat, aber nicht das Zwischenzertifikat sendet, kann der Client (also curl, wget, Liferea oder Nextcloud) die Kette nicht verifizieren. Füge also das fehlende Intermediate-Zertifikat in deine Serverkonfiguration ein.

3. **Extended master secret und Early Data:**
Die Meldung "Extended master secret: no" und "Max Early Data: 0" sind in diesem Kontext eher nebensächlich und beeinflussen die Zertifikatsprüfung nicht. Dein Hauptproblem ist die unvollständige Kette.

4. **Testen:**
Nachdem du die Konfiguration angepasst hast, teste die Seite erneut mit OpenSSL:
```bash
openssl s_client -connect planet.debianforum.de:443 -showcerts
```
Achte darauf, dass jetzt alle Zertifikate in der Kette angezeigt werden und der Verify-Code 0 zurückliefert.

Wenn du diese Punkte durchgehst, sollte sich das Problem beheben lassen. Sag Bescheid, falls du noch Fragen hast oder irgendwo stecken bleibst!

Ganz viel Geschwubbel den jeder selbst weiß und absolut nichts zur Lösung des Problems beiträgt.
planet.debianforum.de liefert als chain das Zertifikat für O = Let's Encrypt, CN = R10 aus sollte aber das für O = Let's Encrypt, CN = R11 ausliefern.
Firefox/chrome cachen alte Zertifikate und wählen automatisch das richtige. Wenn man also zuerst irgend eine andere Seite (wie debianforum.de) von Let's Encrypt aufgerufen hat, gibt es keine Probleme:
Leder ist nopaste im debianforum zu dämlich pems zu akzeptieren. Deswegen als Vollzitat:

Code: Alles auswählen

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

[whisper]

planet.debianforum.de liefert als chain das Zertifikat für O = Let's Encrypt, CN = R10 aus sollte aber das für O = Let's Encrypt, CN = R11 ausliefern.
Firefox/chrome cachen alte Zertifikate und wählen automatisch das richtige. Wenn man also zuerst irgend eine andere Seite (wie debianforum.de) von Let's Encrypt aufgerufen hat, gibt es keine Probleme:

Danke für die Analyse.
Das Problem ist damit aber noch nicht gelöst.
Was hast du gegen die Punkte 1. und 2. von chatGPT.
Das wird doch das Problem sein, um das sich der Serveradmin kümmern sollte.
Bin aber auf die Lösung gespannt.