[Solved] Ошибка обработки CRL (OpenVPN, SSL) в pfSense 2.6

pigbrother

Сегодня утром отвалились все клиенты Open VPN с сообщениями в логе вида:

VERIFY ERROR: depth=0, error=CRL has expired: C=XX, ST=XXX, L=XXXXX, O=XXXXX emailAddress=XXX@XXX.XXX CN=XXXXX, serial=75
Aug 26 09:41:11 	openvpn 	50653
OpenSSL: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed

Отключение CRL в настройках сервера\серверов помогает, но так поступать нехорошо.

Ошибка проявляется не только в pfSense:
https://bozza.ru/art-287.html
https://forums.openvpn.net/viewtopic.php?t=26308

Похоже, что может страдать и другой функционал, связанный с обработкой SSL, например:
Many of my haproxy backends went down last week (ssl handshake errors) and diagnosing the issue was very difficult.
A lot of trial and error, I narrowed down the backend SSL verification and CRL, as the culprit. I stumbled upon this issue after searching errors related to a downed OpenVPN client. Applying the patch here (obviously) fixed both haproxy and OpenVPN issues I was having.

Для pfSense 2.6 разработчики выпустили патч:
https://forum.netgate.com/topic/172870/crl-has-expired/11
Ставится через пакет System Patches.