Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    DynDNS - FreeDNS SSL Problem

    Scheduled Pinned Locked Moved Deutsch
    6 Posts 2 Posters 748 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      Beerman
      last edited by Beerman

      Servus,

      DynDNS mit FreeDNS funktioniert leider nicht mehr mit PfSense.

      Ich bekomme jeweils die Fehlermeldung:

      Curl error occurred: SSL certificate problem: certificate has expired
      

      Allerdings scheint das Zertifikat von FreeDNS i.O. zu sein, wenn man die URL direkt im Browser öffnet. (Da kann ich sehen, dass das Zertifikat noch bis Feb. 2022 gültig ist).

      Auch wenn ich in der PfSense Konsole die Update URL direkt aufrufe:

      curl -v "https://freedns.afraid.org/dynamic/update.php?<AUTH-TOKEN>"
      

      bekomme ich folgende Fehlermeldung:

      *   Trying 50.23.197.95:443...
      * TCP_NODELAY set
      * Connected to freedns.afraid.org (50.23.197.95) port 443 (#0)
      * ALPN, offering h2
      * ALPN, offering http/1.1
      * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
      * successfully set certificate verify locations:
      *   CAfile: /usr/local/share/certs/ca-root-nss.crt
        CApath: none
      * TLSv1.2 (OUT), TLS header, Certificate Status (22):
      * TLSv1.2 (OUT), TLS handshake, Client hello (1):
      * TLSv1.2 (IN), TLS handshake, Server hello (2):
      * TLSv1.2 (IN), TLS handshake, Certificate (11):
      * TLSv1.2 (OUT), TLS alert, certificate expired (557):
      * SSL certificate problem: certificate has expired
      * Closing connection 0
      curl: (60) SSL certificate problem: certificate has expired
      More details here: https://curl.haxx.se/docs/sslcerts.html
      
      curl failed to verify the legitimacy of the server and therefore could not
      establish a secure connection to it. To learn more about this situation and
      how to fix it, please visit the web page mentioned above.
      

      Ist evtl. auf der PfSense das CAfile veraltet, oder Ähnliches?

      Danke! :)

      (PfSense Ver.: 2.4.5)

      fireodoF 1 Reply Last reply Reply Quote 0
      • fireodoF
        fireodo @Beerman
        last edited by

        @Beerman said in DynDNS - FreeDNS SSL Problem:

        Servus,

        DynDNS mit FreeDNS funktioniert leider nicht mehr mit PfSense.

        Ich bekomme jeweils die Fehlermeldung:

        Curl error occurred: SSL certificate problem: certificate has expired
        

        Allerdings scheint das Zertifikat von FreeDNS i.O. zu sein, wenn man die URL direkt im Browser öffnet. (Da kann ich sehen, dass das Zertifikat noch bis Feb. 2022 gültig ist).

        Auch wenn ich in der PfSense Konsole die Update URL direkt aufrufe:

        curl -v "https://freedns.afraid.org/dynamic/update.php?<AUTH-TOKEN>"
        

        bekomme ich folgende Fehlermeldung:

        *   Trying 50.23.197.95:443...
        * TCP_NODELAY set
        * Connected to freedns.afraid.org (50.23.197.95) port 443 (#0)
        * ALPN, offering h2
        * ALPN, offering http/1.1
        * Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
        * successfully set certificate verify locations:
        *   CAfile: /usr/local/share/certs/ca-root-nss.crt
          CApath: none
        * TLSv1.2 (OUT), TLS header, Certificate Status (22):
        * TLSv1.2 (OUT), TLS handshake, Client hello (1):
        * TLSv1.2 (IN), TLS handshake, Server hello (2):
        * TLSv1.2 (IN), TLS handshake, Certificate (11):
        * TLSv1.2 (OUT), TLS alert, certificate expired (557):
        * SSL certificate problem: certificate has expired
        * Closing connection 0
        curl: (60) SSL certificate problem: certificate has expired
        More details here: https://curl.haxx.se/docs/sslcerts.html
        
        curl failed to verify the legitimacy of the server and therefore could not
        establish a secure connection to it. To learn more about this situation and
        how to fix it, please visit the web page mentioned above.
        

        Ist evtl. auf der PfSense das CAfile veraltet, oder Ähnliches?

        Danke! :)

        (PfSense Ver.: 2.4.5)

        Nein, das Problem liegt bei FreeDns (http://freedns.afraid.org/news/)

        Ich kann dir ein Workaround nennen aber du müsstest Systemdateien in deiner pfsense verändern ...

        Grüßle,
        fireodo

        Kettop Mi4300YL CPU: i5-4300Y @ 1.60GHz RAM: 8GB Ethernet Ports: 4
        SSD: SanDisk pSSD-S2 16GB (ZFS) WiFi: WLE200NX
        pfsense 2.8.0 CE
        Packages: Apcupsd, Cron, Iftop, Iperf, LCDproc, Nmap, pfBlockerNG, RRD_Summary, Shellcmd, Snort, Speedtest, System_Patches.

        B 1 Reply Last reply Reply Quote 0
        • B
          Beerman @fireodo
          last edited by Beerman

          Nein, das Problem liegt bei FreeDns (http://freedns.afraid.org/news/)

          Ich kann dir ein Workaround nennen aber du müsstest Systemdateien in deiner pfsense verändern ...

          Grüßle,
          fireodo

          Danke, die News hatte ich nicht gesehen.

          Aber da steht doch

          if you have an out of date CA root store in your TLS client, automatic dynamic updates (over TLS only) may not be working for you starting today...

          Heisst für mich, das auf der PfSense tatsächlich eine veraltete CAfile existiert, die mal aktualisert gehört. 😉

          Ob es irgendwann wieder mit den sog. "legacy devices" wieder funktioniert, ist laut dieser News auch nicht 100%ig sicher. 😟

          fireodoF 1 Reply Last reply Reply Quote 0
          • fireodoF
            fireodo @Beerman
            last edited by fireodo

            @Beerman said in DynDNS - FreeDNS SSL Problem:

            Nein, das Problem liegt bei FreeDns (http://freedns.afraid.org/news/)

            Ich kann dir ein Workaround nennen aber du müsstest Systemdateien in deiner pfsense verändern ...

            Grüßle,
            fireodo

            Danke, die News hatte ich nicht gesehen.

            Aber da steht doch

            if you have an out of date CA root store in your TLS client, automatic dynamic updates (over TLS only) may not be working for you starting today...

            Heisst für mich, das auf der PfSense tatsächlich eine veraltete CAfile existiert, die mal aktualisert gehört. 😉

            Nein, pfsense hat damit nix zu tun ...

            Ob es irgendwann wieder mit den sog. "legacy devices" wieder funktioniert, ist laut dieser News auch nicht 100%ig sicher. 😟

            Wie auch immer - es liegt nicht in unserer Hand - der Ball ist bei freedns, pfsense ist meiner Ansicht nach nicht daran schuld.

            Kettop Mi4300YL CPU: i5-4300Y @ 1.60GHz RAM: 8GB Ethernet Ports: 4
            SSD: SanDisk pSSD-S2 16GB (ZFS) WiFi: WLE200NX
            pfsense 2.8.0 CE
            Packages: Apcupsd, Cron, Iftop, Iperf, LCDproc, Nmap, pfBlockerNG, RRD_Summary, Shellcmd, Snort, Speedtest, System_Patches.

            1 Reply Last reply Reply Quote 0
            • B
              Beerman
              last edited by

              Leider ist pfBlockerNG auch davon betroffen.

              [ EasyList ]			 Downloading update . cURL Error: 60
              SSL certificate problem: certificate has expired Retry in 5 seconds...
              . cURL Error: 60
              SSL certificate problem: certificate has expired Retry in 5 seconds...
              . cURL Error: 60
              SSL certificate problem: certificate has expired Retry in 5 seconds...
              .. unknown http status code | 0
              
               [ DNSBL_EasyList - EasyList ] Download FAIL [ 05/31/20 20:01:41 ]
                Firewall and/or IDS (Legacy mode only) are not blocking download.
              

              EasyList URL funktioniert im Browser ohne Probleme...

              fireodoF 1 Reply Last reply Reply Quote 0
              • fireodoF
                fireodo @Beerman
                last edited by fireodo

                @Beerman said in DynDNS - FreeDNS SSL Problem:

                Leider ist pfBlockerNG auch davon betroffen.

                [ EasyList ]			 Downloading update . cURL Error: 60
                SSL certificate problem: certificate has expired Retry in 5 seconds...
                . cURL Error: 60
                SSL certificate problem: certificate has expired Retry in 5 seconds...
                . cURL Error: 60
                SSL certificate problem: certificate has expired Retry in 5 seconds...
                .. unknown http status code | 0
                
                 [ DNSBL_EasyList - EasyList ] Download FAIL [ 05/31/20 20:01:41 ]
                  Firewall and/or IDS (Legacy mode only) are not blocking download.
                

                EasyList URL funktioniert im Browser ohne Probleme...

                Kannst du umgehen indem du die Easylist in pfblocker auf "Flex" stellst.

                So wie ich es sehe war das Stichdatum 30 Mai das Ablaufdatum für viele Zertifikate und das hat sich (nicht nur) auch bei pfsense bemerkbar gemacht.

                Meine 2Cents zu dem Thema,
                schönen Restsonntach noch ;-)

                Kettop Mi4300YL CPU: i5-4300Y @ 1.60GHz RAM: 8GB Ethernet Ports: 4
                SSD: SanDisk pSSD-S2 16GB (ZFS) WiFi: WLE200NX
                pfsense 2.8.0 CE
                Packages: Apcupsd, Cron, Iftop, Iperf, LCDproc, Nmap, pfBlockerNG, RRD_Summary, Shellcmd, Snort, Speedtest, System_Patches.

                1 Reply Last reply Reply Quote 1
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.