Reject Mail hosts

Mardor

Well-Known Member
Hi,

ich erhalte seit Wochen bei meinem daily report folgende Meldung:

Code:
Checking for rejected mail hosts:
Certificate verification failed for /C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Root Certificate Authority - G2
34374371912:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
fetch: https://www.ietf.org/timezones/data/leap-seconds.list: Authentication error

Ich habe bereits versucht den ntp zu ändern (aufgrund von leap-seconds.list), erhalte jedoch immer und immer wieder die gleiche Meldung.

Hat jemand von euch eine Idee wo das Problem hier liegen könnte ?
Liege ich mit NTP überhaupt richtig ?

Gruß Mardor
 
Interessant. Ja, NTP ist richtig. Er kann die Datenbank mit Schaltsekunden nicht herunterladen, da er das SSL-Cert des HTTP-Servers nicht validieren kann. Du könntest mal probieren das ca_root_nss Paket zu installieren, wenn du es noch nicht hast. Geht es dann stellt sich die Frage, wieso das Basissystem einen Server anfragt, für dessen Zertifikat er Mozillas Zertifikatbundle aus den Port braucht...
 
Hi,

ich will nicht ausschließen, dass der Grund meine Konfiguration ist. Ich habe in der ntp.conf als "pool 0.freebsd.pool.ntp.org iburst" stehen.

Die in der ntp.conf erwähnte: leapfile /var/db/ntpd.leap-seconds.list habe ich meines Erachtens keine Änderung vorgenommen.

Habe ich hier eventuell einen Konfigurationsfehler ?
Der Logfehler sehe ich übrigens in jedem einzelnen Jail.

Gruß Mardor
 
Das ist das Script /etc/periodic/daily/480.leapfile-ntpd. Das wirst du kaum verändert haben. Das wiederum ruft service ntpd onefetch auf, womit wir in /etc/rc.d/ntpd landen. Die URL zum Herunterladen wird da nicht definiert, sie kommt aus der /etc/defaults/rc.conf und zeigt auf https://www.ietf.org/timezones/data/leap-seconds.list. Ich glaube, das Problem ist einfach, dass der Server per HTTPS angesprochen wird, FreeBSD im Basissystem aber kein Zertifikatbundle mitliefert. Da muss jemand geschlampt haben.
 
Zurück
Oben