1

Onderwerp: Openvpn 2.4 CRL bug, opgelet

Van de week klapte er allerlei VPN verbindingen eruit. De impact was voornamelijk op Centos 6 en 7, maar gezien de bronvermelding, lijkt het ook voor te komen in het Debian ecosysteem. Mocht je gebruiken van zogenaamde CRL bestanden, dan zal je waarschijnlijk een TTL van 30 dagen hebben en een CA van 3600+ op basis van de defaults van openssl.cnf. De TTL van CRL bestanden worden sind de laatste updates ge-enforced.  Als dit je over komt, zal je foutmeldingen zien van 'certificate mismatche' en de belangrijkste: 'crl out of date!'. Easy RSA 2.0 doet dat niet zo maar, daar moet je met openssl zelf aan de slag mee. Ter illustratie:

openssl ca  -gencrl -keyfile keys/ca.key -cert keys/ca.crt  -out keys/crl.pem -config ./openssl-1.0.0.cnf

Achtergrond informatie:
https://bugs.debian.org/cgi-bin/bugrepo … bug=849909

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."