Monitoring über elbanco: BOB-Zertifikat "zittert"

Just FYI @Andreas, das Monitoring war heute Nacht sehr aufgeregt und konnte sich nicht so richtig entscheiden, ob das TLS-Zertifikat auf dem BOB-Server nun ausgelaufen ist oder nicht:

Hi Clemens,

der OCSP-Responder von Let’s Encrypt hatte letzte Nacht scheinbar massive Probleme. Unser Icinga war voll von Meldungen aller Domains, die Let’s Encrypt einsetzen.

Viele Gruesse,
Andreas.

Ah, es koennte aber auch einer dieser geplanten Brownouts gewesen sein, der uns darauf aufmerksam machen soll, von ACMEv1 auf ACMEv2 zu wechseln, siehe ACMEv1 Brownout - Staging & Production.

Zeitlich passt es aber nicht ganz zusammen, siehe:

vs.

Daher scheint es wohl doch eher leichte Komplikationen beim geplanten Systemupdate gegeben zu haben, siehe Boulder Update to release-2021-01-04.

Die erwaehnte Fehlermeldung

taucht in entsprechenden Diskussionen auf, wo es um das Thema “Replication lag to OCSP responder infrastructure” geht.

Vermutlich trat so etwas beim gestrigen Systemupdate auf, so dass unsere Sensoren angeschlagen haben.

Bzgl. “Update auf ACMEv2”: Alle die noch nicht aktualisiert haben, muessten eine entsprechende Nachricht per Email erhalten haben.

Wenn sich in den Konfigurationseinstellungen (z.B. unter /etc/letsencrypt) folgende Eintraege finden lassen, ist alles in Ordnung.

server = https://acme-v02.api.letsencrypt.org/directory

Falls dort jedoch noch acme-v01 steht, muesste der Endpunkt angepasst werden.

ping @Diren, @vinz

1 Like