DynDNS - FreeDNS SSL Problem

Beerman

Servus,

DynDNS mit FreeDNS funktioniert leider nicht mehr mit PfSense.

Ich bekomme jeweils die Fehlermeldung:

Curl error occurred: SSL certificate problem: certificate has expired

Allerdings scheint das Zertifikat von FreeDNS i.O. zu sein, wenn man die URL direkt im Browser öffnet. (Da kann ich sehen, dass das Zertifikat noch bis Feb. 2022 gültig ist).

Auch wenn ich in der PfSense Konsole die Update URL direkt aufrufe:

curl -v "https://freedns.afraid.org/dynamic/update.php?<AUTH-TOKEN>"

bekomme ich folgende Fehlermeldung:

*   Trying 50.23.197.95:443...
* TCP_NODELAY set
* Connected to freedns.afraid.org (50.23.197.95) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /usr/local/share/certs/ca-root-nss.crt
  CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, certificate expired (557):
* SSL certificate problem: certificate has expired
* Closing connection 0
curl: (60) SSL certificate problem: certificate has expired
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

Ist evtl. auf der PfSense das CAfile veraltet, oder Ähnliches?

Danke! :)

(PfSense Ver.: 2.4.5)

fireodo

@Beerman said in DynDNS - FreeDNS SSL Problem:

Servus,

DynDNS mit FreeDNS funktioniert leider nicht mehr mit PfSense.

Ich bekomme jeweils die Fehlermeldung:

Curl error occurred: SSL certificate problem: certificate has expired

Allerdings scheint das Zertifikat von FreeDNS i.O. zu sein, wenn man die URL direkt im Browser öffnet. (Da kann ich sehen, dass das Zertifikat noch bis Feb. 2022 gültig ist).

Auch wenn ich in der PfSense Konsole die Update URL direkt aufrufe:

curl -v "https://freedns.afraid.org/dynamic/update.php?<AUTH-TOKEN>"

bekomme ich folgende Fehlermeldung:

*   Trying 50.23.197.95:443...
* TCP_NODELAY set
* Connected to freedns.afraid.org (50.23.197.95) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /usr/local/share/certs/ca-root-nss.crt
  CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, certificate expired (557):
* SSL certificate problem: certificate has expired
* Closing connection 0
curl: (60) SSL certificate problem: certificate has expired
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

Ist evtl. auf der PfSense das CAfile veraltet, oder Ähnliches?

Danke! :)

(PfSense Ver.: 2.4.5)

Nein, das Problem liegt bei FreeDns (http://freedns.afraid.org/news/)

Ich kann dir ein Workaround nennen aber du müsstest Systemdateien in deiner pfsense verändern ...

Grüßle,
fireodo

Beerman

Nein, das Problem liegt bei FreeDns (http://freedns.afraid.org/news/)

Ich kann dir ein Workaround nennen aber du müsstest Systemdateien in deiner pfsense verändern ...

Grüßle,
fireodo

Danke, die News hatte ich nicht gesehen.

Aber da steht doch

if you have an out of date CA root store in your TLS client, automatic dynamic updates (over TLS only) may not be working for you starting today...

Heisst für mich, das auf der PfSense tatsächlich eine veraltete CAfile existiert, die mal aktualisert gehört.

Ob es irgendwann wieder mit den sog. "legacy devices" wieder funktioniert, ist laut dieser News auch nicht 100%ig sicher.

fireodo

@Beerman said in DynDNS - FreeDNS SSL Problem:

Nein, das Problem liegt bei FreeDns (http://freedns.afraid.org/news/)

Ich kann dir ein Workaround nennen aber du müsstest Systemdateien in deiner pfsense verändern ...

Grüßle,
fireodo

Danke, die News hatte ich nicht gesehen.

Aber da steht doch

if you have an out of date CA root store in your TLS client, automatic dynamic updates (over TLS only) may not be working for you starting today...

Heisst für mich, das auf der PfSense tatsächlich eine veraltete CAfile existiert, die mal aktualisert gehört.

Nein, pfsense hat damit nix zu tun ...

Ob es irgendwann wieder mit den sog. "legacy devices" wieder funktioniert, ist laut dieser News auch nicht 100%ig sicher.

Wie auch immer - es liegt nicht in unserer Hand - der Ball ist bei freedns, pfsense ist meiner Ansicht nach nicht daran schuld.

Beerman

Leider ist pfBlockerNG auch davon betroffen.

[ EasyList ]			 Downloading update . cURL Error: 60
SSL certificate problem: certificate has expired Retry in 5 seconds...
. cURL Error: 60
SSL certificate problem: certificate has expired Retry in 5 seconds...
. cURL Error: 60
SSL certificate problem: certificate has expired Retry in 5 seconds...
.. unknown http status code | 0

 [ DNSBL_EasyList - EasyList ] Download FAIL [ 05/31/20 20:01:41 ]
  Firewall and/or IDS (Legacy mode only) are not blocking download.

EasyList URL funktioniert im Browser ohne Probleme...

fireodo

@Beerman said in DynDNS - FreeDNS SSL Problem:

Leider ist pfBlockerNG auch davon betroffen.

[ EasyList ]			 Downloading update . cURL Error: 60
SSL certificate problem: certificate has expired Retry in 5 seconds...
. cURL Error: 60
SSL certificate problem: certificate has expired Retry in 5 seconds...
. cURL Error: 60
SSL certificate problem: certificate has expired Retry in 5 seconds...
.. unknown http status code | 0

 [ DNSBL_EasyList - EasyList ] Download FAIL [ 05/31/20 20:01:41 ]
  Firewall and/or IDS (Legacy mode only) are not blocking download.

EasyList URL funktioniert im Browser ohne Probleme...

Kannst du umgehen indem du die Easylist in pfblocker auf "Flex" stellst.

So wie ich es sehe war das Stichdatum 30 Mai das Ablaufdatum für viele Zertifikate und das hat sich (nicht nur) auch bei pfsense bemerkbar gemacht.

Meine 2Cents zu dem Thema,
schönen Restsonntach noch ;-)