Bist Du Dir sicher, daß Deine Konfiguration stimmt?
Eigentlich sollte der Standard für
FREETZ_ROOTEMU_*
ja
FREETZ_ROOTEMU_PSEUDO
sein (
https://github.com/Freetz-NG/freetz...1dcc8a937dab58a8/config/ui/toolchain.in#L1016) und wenn das so ist, sollte erst gar nicht versucht werden, auch
fakeroot
zu bauen:
https://github.com/Freetz-NG/freetz...c8a937dab58a8/make/host-tools/Makefile.in#L69
Vielleicht wäre es ja besser, Du zeigst erst mal Deine Konfiguration - aber bitte die komprimierte Version, in der nur die ggü. den Standardeinstellungen geänderten Werte enthalten sind (keiner will sich durch alle - auch die automatischen - Einstellungen wühlen).
Abgesehen davon sind die ganzen Ausgaben, die sich auf die Zertifikate beziehen, auch gar nicht das Problem, weil der Download von
ftp.debian.org
fehlschlägt und das hat mit dem Zertifikat an sich nichts zu tun, denn der HTTP-Error ist ja 404, was schon mal eine erfolgreiche TLS-Verbindung erfordert hat.
Auf der anderen Seite deutet das aber auch darauf hin, daß Dein System schon länger keine Updates mehr (mind. für die SSL-Konfiguration bzgl. der CAs - also der "certificate authorities") erhalten hat ... zumindest solltest Du Dich mal vergewissern, daß Dein Build-Host auch wirklich auf dem neuesten Stand ist. Solche Statements wie "never touch a running system" sind lange out und sollten nicht mehr als Begründung herangezogen werden, warum jemand keine Updates macht.
Denn das Problem mit dem verfallenen (cross signing-)Zertifikat für LE-Zertifikate ist inzwischen fast drei Jahre alt (
https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/) und auch
ftp.debian.org
benutzt ein deutlich neueres Zertifikat:
Rich (BBCode):
peh@vidar:~> printf "\n" | openssl s_client -connect ftp.debian.org:443 | openssl x509 -text -noout
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = cdn-fastly.deb.debian.org
verify return:1
DONE
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
03:1a:11:31:2f:47:f4:e6:4d:bc:14:d1:45:05:5e:64:96:df
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = US, O = Let's Encrypt, CN = R3
Validity
Not Before: Jan 17 00:53:14 2024 GMT
Not After : Apr 16 00:53:13 2024 GMT
Subject: CN = cdn-fastly.deb.debian.org
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:be:98:7a:0e:cc:55:e9:10:ba:80:d5:38:8c:69:
ad:4d:f0:05:27:db:25:97:63:de:33:7e:ff:48:a9:
c4:99:c2:e3:7d:df:d5:b9:c0:a2:3e:eb:76:9f:f7:
fd:9f:89:1e:5d:3b:66:3e:76:86:fb:05:1c:c8:ee:
92:57:d4:e5:28:71:f5:ef:15:b3:82:60:15:b7:ec:
61:0d:fe:6f:d4:d9:de:ff:af:61:03:69:9a:21:74:
1d:5f:72:2c:04:ee:f1:06:54:46:60:a6:fe:9e:e1:
62:9b:31:98:bd:2d:44:9f:b5:6d:7c:a5:bf:9e:2b:
1e:35:19:fe:2c:3b:94:f0:fa:38:27:0c:da:76:97:
91:10:1b:ad:df:33:c1:66:bb:c5:ea:80:df:dd:e8:
56:e9:98:4b:69:fd:dd:0d:ed:43:dc:0e:b2:9e:83:
76:b2:65:a8:13:92:5b:63:d6:02:b7:a8:7c:f7:19:
5f:61:5a:02:3e:0b:80:ab:91:c1:83:86:bc:ac:9e:
5d:30:c1:21:6a:b6:d7:f5:ea:3c:1e:47:78:d3:61:
9a:5f:cd:ad:4c:a0:6d:0d:e7:96:95:c0:f0:5e:c0:
e5:0d:27:50:13:36:f9:4c:6c:9b:0d:e0:fc:41:ca:
7e:44:04:1d:0b:29:3a:e4:5c:fd:16:88:b1:46:79:
4d:e1
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Subject Key Identifier:
2F:19:F6:FE:D5:15:19:FF:3B:8F:49:F8:C8:88:92:23:8F:D4:B5:8A
X509v3 Authority Key Identifier:
14:2E:B3:17:B7:58:56:CB:AE:50:09:40:E6:1F:AF:9D:8B:14:C2:C6
Authority Information Access:
OCSP - URI:http://r3.o.lencr.org
CA Issuers - URI:http://r3.i.lencr.org/
X509v3 Subject Alternative Name:
DNS:cdn-fastly-v6.deb.debian.org, DNS:cdn-fastly.deb.debian.org, DNS:deb.debian.org, DNS:ftp.debian.org, DNS:ftp.ipv6.debian.org, DNS:httpredir.debian.org
X509v3 Certificate Policies:
Policy: 2.23.140.1.2.1
CT Precertificate SCTs:
Signed Certificate Timestamp:
Version : v1 (0x0)
Log ID : A2:E2:BF:D6:1E:DE:2F:2F:07:A0:D6:4E:6D:37:A7:DC:
65:43:B0:C6:B5:2E:A2:DA:B7:8A:F8:9A:6D:F5:17:D8
Timestamp : Jan 17 01:53:15.051 2024 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:44:02:20:5B:21:E3:FC:72:92:03:FD:91:A3:20:99:
8E:2B:B5:AB:4B:24:E9:11:AC:7D:C3:C4:CC:F2:CA:8A:
59:33:C5:CF:02:20:56:16:8D:57:A8:88:40:F2:47:B5:
7A:80:42:87:89:AF:67:BA:0A:76:32:74:CA:D2:84:5D:
D8:E7:AF:A6:0B:CC
Signed Certificate Timestamp:
Version : v1 (0x0)
Log ID : EE:CD:D0:64:D5:DB:1A:CE:C5:5C:B7:9D:B4:CD:13:A2:
32:87:46:7C:BC:EC:DE:C3:51:48:59:46:71:1F:B5:9B
Timestamp : Jan 17 01:53:15.038 2024 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:45:02:20:16:8C:29:96:90:12:19:16:92:27:25:FA:
CE:2F:DF:72:CF:C4:D9:1E:FD:C1:C0:FE:1C:96:2C:18:
CC:E9:21:6D:02:21:00:FF:A4:FF:A0:50:4C:28:9B:EF:
2B:3D:AF:D6:70:95:88:42:56:73:5A:1E:42:57:4D:D4:
B5:E4:D7:2F:82:0D:64
Signature Algorithm: sha256WithRSAEncryption
Signature Value:
21:67:9d:91:cf:43:fb:0a:94:12:69:83:47:d1:eb:eb:71:7f:
69:64:b8:a7:a9:61:d3:d6:a0:61:e0:ef:1d:d7:3b:9f:2e:82:
b1:f9:6d:62:98:38:ca:33:31:b1:4c:5d:c1:5a:a2:49:ea:64:
ec:7b:ab:5a:0d:b7:e7:25:8a:3b:00:b9:5c:53:e7:3a:7a:c6:
12:c2:95:dd:1d:0a:ba:fb:01:23:86:58:5d:5a:d9:59:a7:9f:
69:6d:00:14:51:04:6e:83:e5:2e:8f:cc:01:6f:b1:f7:17:4e:
a0:09:df:12:63:a7:16:f3:b8:09:83:89:2f:cb:ab:54:4b:4c:
68:e7:59:08:05:e2:b0:4e:f5:fd:5e:f0:97:f3:69:99:6d:aa:
3c:c5:09:15:7e:8c:ff:bc:94:22:ff:f7:27:c0:00:62:af:91:
6a:d9:d3:57:41:75:72:3f:a1:01:39:94:a9:7d:de:de:ba:c5:
ca:19:70:13:f2:50:9c:47:bb:3c:d0:95:07:f3:59:d7:4a:2e:
33:c1:9c:54:54:78:b9:8b:47:39:a5:27:15:b3:f9:f3:10:c5:
33:c1:91:15:bd:2d:0c:5b:82:67:36:d6:4f:af:f3:b5:ec:cb:
d9:2a:63:bd:fb:0d:18:bb:38:2c:b1:b8:f6:ba:b4:44:ef:94:
88:9c:20:42
peh@vidar:~>
, welches auch mit einem anderen Root-Zertifikat signiert wurde.
Wenn da also ein altes und verfallenes Zertifikat zu Problemen führt (wobei das - wie oben schon geschrieben - ohnehin nur eine WARNUNG ist und nicht die Ursache des Problems) und obendrein offenbar in
/etc/ssl/certs
eine
dhparams.pem
verlinkt ist (die enthält vorberechnete Primzahlen als Auswahl von Parametern für einen Diffie-Hellman-Schlüsselaustausch:
https://en.wikipedia.org/wiki/Diffie–Hellman_key_exchange und hat mit dem eigentlichen Zweck dieses Verzeichnisses, vertrauenswürdige Root-Zertifikate zu speichern, nichts gemein - auch die dort abgelegten Symlinks mit dem Hash über das Zertifikat im Namen, dienen nur der leichteren Auffindbarkeit eines bekannten Zertifikats), die effektiv nur der
root
-Benutzer lesen darf, dann ist da noch einiges im Argen und ich würde schon die Integrität und Aktualität Deines Build-Systems in Zweifel ziehen (aus den genannten Gründen).
EDIT: Wobei Du ja etwas von Debian 11.9 schreibst, was ja noch nicht so lange raus ist - aber dann war schon Deine vorhergehende Konfiguration von OpenSSL "nicht sauber", denn die bereits erwähnte
dhparams.pem
ergibt auch dann nur wenig Sinn, wenn das tatsächlich "bessere" Primzahlen sein sollten, die für irgendeinen anderen (TLS-)Server generiert wurden.
EDIT2: Ich habe gerade gesehen, daß in aktuellen Freetz-NG-Versionen ja
fakeroot
in Version 1.33 verwendet wird - die von Deinem Build gesuchte 1.29 gibt es schon lange nicht mehr auf den Debian-Servern. Das heißt dann im Umkehrschluß, daß Dein Checkout von Freetz-NG NICHT aktuell ist und bis Du das korrigiert hast, bin ich hier raus ... irgendwelchen Phantom-Problemen hinterher jagen, macht nicht wirklich Spaß und nur (sinnlose) Arbeit. Da liegen die Probleme auch nicht wirklich bei Freetz-NG, sondern beim Benutzer, wenn da jemand eine veraltete Version verwendet.