Updater selhává - nevalidní self-signed certifikát?

roman-profiservis · June 16, 2021, 8:25am

Zdravím,

po aktualizaci na TOS 5.2.1 na nejstarším modrákovi mi najednou vyskakuje :

v /etc/hosts nic nemám připsáno, vypadá to jako default

obrazek

Oznámení o chybách
=====================
Updater selhal:
 
runtime: [string "requests"]:430: [string "utils"]:420: Getting URI (https://repo.turris.cz/hbs/turris1x/lists/pkglists/luci_controls.lua) failed: SSL certificate problem: self signed certificate

Udělal jsem nový topic dle dohody, zkouším DNS :

Prosím o tip, jak mohu ten certifikát vyměnit - stalo se to po aktualizaci na 5.2.1 , do té doby bylo vše v pořádku. Zároveň ten samý TOS na MOXovi to nedělá, dělá to jen modrák…

Mám to na síti UPC / Vodafone a tunnel IPv6 od HE

vojtech.myslivec · June 16, 2021, 12:29pm

Vidim dobre, ze prikaz pkgupdate probehne bez chyby, ale jednou za 4 hodiny router vygeneruje notifikaci o chybnem certifikatu repo.turris.cz? Nebo slo jen o jednorazovou notifikaci?

Certifikat urcite nevymenite, jde o certifikat serveru. Problem bude proc si klient (updater) domniva, ze je to self-signed certifikat.

roman-profiservis · June 16, 2021, 12:46pm

Dobry den,

nedokazi si to vysvetlit, vcera mi to prislo celkem 3x, dnes zatim ani jednou - udelal jsem restart modraka. Zatim bez chybicky. Tak nevim, jeste pockam a pokud to dnes ani zitra nebude zlobit, zapomente na to. Dekuji Roman

xmartinj · June 16, 2021, 1:29pm

Včera jsem měl 2 notifikace v mailu a dnes 4.

runtime: [string "requests"]:430: [string "utils"]:420: Getting URI (https://repo.turris.cz/hbs/turris1x/lists/pkglists/nas.lua) failed: SSL certificate problem: self signed certificate

Teď jsem se přihlásil do routeru a zkusil ping:

root@turris:~# ping repo.turris.cz
PING repo.turris.cz (**217.31.192.69**) 56(84) bytes of data.
64 bytes from repo.turris.cz (217.31.192.69): icmp_req=1 ttl=58 time=2.66 ms
64 bytes from repo.turris.cz (217.31.192.69): icmp_req=2 ttl=58 time=2.21 ms

Po tom co jsem routeru domluvil a už používá správnou IP adresu, tak se updater umoudřil a na nic si nestěžuje.

root@turris:~# ping repo.turris.cz
PING repo.turris.cz (**217.31.192.84**) 56(84) bytes of data.
64 bytes from repo.turris.cz (217.31.192.84): icmp_req=1 ttl=58 time=2.24 ms
64 bytes from repo.turris.cz (217.31.192.84): icmp_req=2 ttl=58 time=2.13 ms

vojtech.myslivec · June 16, 2021, 1:33pm

Ano, jediny duvod, co me napada, proc by mel hlasit “self-signed certificate” je, ze se pripojuje na starou adresu. Nerozumim ale, proc by se repo.turris.cz melo resolvovat na starou IP adresu.

Jak jste “routeru domluvil”?

xmartinj · June 16, 2021, 1:46pm

Domluva spočívala v modifikaci /etc/hosts.

root@turris:~# cat /etc/hosts
127.0.0.1       localhost
#217.31.192.69   repo.turris.cz

Ten záznam tam byl historicky už několik let, protože bez toho aktualizace selhávaly. Asi nějaký dřívější problém s DNS.

Teď jsem záznam odstranil a tím pádem se router musel jím zeptat DNS a už to funguje.

vojtech.myslivec · June 16, 2021, 1:58pm

Aha, no tak v tomto pripade je to jasne, ze kdyz se adresa zmenila, tak ten staticky zaznam v /etc/hosts uz nebude fungovat.

Nicmene u @roman-profiservis v tomto prispevku pujde o nejakou jinou pricinu.