[bug?] mit Update 21.7.3 keine zuverlässuge Blocklist

[lenny]

Hi,
hat noch jemand Probleme mit der Blocklist seit Update 21.7.3(bis _3)
Werbung wird kaum bis sporadisch blockiert.
revert auf die alte 21.7.2_1 und alles ist wieder schön (inkl. meines alten Beitrags mit der CPU Last)

ich glaub, ich warte mal das nächste Update ab....

[lenny]

2021-10-07T12:49:19   unbound[12390]   blocklist download https://adaway.org/hosts.txt (lines: 0 exclude: 0 block: 0)   
2021-10-07T12:49:19   unbound[12390]   blocklist download : unable to download file from https://adaway.org/hosts.txt (error : HTTPSConnectionPool(host='adaway.org', port=443): Max retries exceeded with url: /hosts.txt (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: certificate has expired (_ssl.c:1136)'))))


das wäre doch die Lösung, oder?
Per Browser kann ich das Ziel jedoch erreichen

[franco]

Auch wieder so ein acme-client Plugin Spass der die Chain bei der Verifikation lokal zerhaut?


Grüsse
Franco

[lenny]

da ich dir nur bedingt folgen kann :D ja, Lets encrypt hab ich laufen.
Aber wieso ändert er die Chain von Unbound? Oder sind das Folgen des ACME Updates?

[franco]

Ok, das acme-client plugin fügt die kaputte Let's Encrypt Chain in unseren Trust Store und damit gehen Let's Encrypt Seiten nicht mehr von der Firewall aus weil die Verifikation fehlschlägt.

Bitte folgenden Patch probieren: https://github.com/opnsense/core/commit/bc60d5e42

# opnsense-patch bc60d5e42 && configctl firmware configure


Grüsse
Franco

[lenny]

auf den ersten Blick scheint es zu funktionieren.
im Log sehe ich den Fehler nicht mehr und heise, stern etc. sind wieder werbefrei

[franco]

Klingt gut :)

Ist die einzige Blocklist die an war?


Grüsse
Franco

[lenny]

ne mehrere, aber die einzige mit dem error

Dankeschön!:)