Sinds 1 oktober certificaat errors op Ruimtelijke Plannen

johnvb · 1 oktober 2020 om 08:07

Sinds vandaag krijg ik incidenteel certificaat foutmeldingen op de BAG. Gisteren ging het nog goed met identieke software.

De volgende query …

QUERY POST …: {“https://bag.basisregistraties.overheid.nl/api/v1/panden”,
“{“geometrie”:{“intersects”:{“coordinates”:[[[6.112233552,52.072596277],[6.112432322,52.072569597],[6.112603922,52.072547723],[6.112793365,52.07252786],[6.112949987,52.07250517],[6.112977646,52.072501826],[6.112995502,52.073045748],[6.113012868,52.073541458],[6.113034553,52.07405609],[6.111019429,52.074213729],[6.110904496,52.074143112],[6.110625363,52.073974246],[6.11062305,52.073972858],[6.111789969,52.072668002],[6.111924416,52.072645935],[6.112233552,52.072596277]]],“type”:“Polygon”}}}”,
[
{“Accept”, “application/hal+json”},
{“X-API-Key”, “”}
], [params: [page: 1]]}

geeft sinds vandaag dus (incidenteel!) deze certificaat foutmelding …

SEARCH ABORTED …: {%HTTPoison.Error{
id: nil,
reason: {:tls_alert,
{:unknown_ca,
‘TLS client: In state certify at ssl_handshake.erl:1950 generated CLIENT ALERT: Fatal - Unknown CA\n’}}
}

In voorgaande gevallen gaat het (ook vandaag) gewoon goed.

jasperroes · 1 oktober 2020 om 08:56

Voor alle PKI-O certificaten die we aan de Kadaster kant (en breed binnen de overheid gebruiken) geldt dat deze vervangen moesten worden voor 1 oktober ivm het intrekken van het root certificaat. Voor meer informatie zie de site van Logius: Intrekking PKIoverheid certificaten afgerond | Logius.

Voor het domein waar de BAG API is het certificaat op tijd vervangen, dat je foutmeldingen krijgt komt hoogstwaarschijnlijk omdat ergens in jullie eigen infrastructuur het nieuwe root certificat voor PKI-O niet vertrouwd wordt.

Wat we wel vreemd vinden is dat je de foutmeldign maar incidenteel krijgt, wij weten iig wel zeker dat we altijd hetzelfde (nieuwe) certificaat gebruiken.

johnvb · 1 oktober 2020 om 09:12

Krijg het zowel in mijn ontwikkelomgeving (gekoppeld aan Ziggo) als produktieomgeving (Digital Ocean cluster in AMS).

Het vreemde is dat een search met enkel alleen BRK requests van begin tot eind bij herhaling gewoon goed gaat. Zelf heb ik een generiek certificaat voor al mijn subdomeinen. Dat lijkt bij jullie anders aangezien het BRK certficaat gewoon goed werkt.

Je zou verwachten dat certificaat afhandeling niet verstoord mag worden door tussenliggende proxies.

Ben overigens geen expert in certificaat afhandeling en om die reden nog niet diep in gedoken. Vandaar eerst mijn vraag aan jullie.

jasperroes · 1 oktober 2020 om 09:19

Wij kunnen hier (voor zover ik nu kan nagaan) niets aan doen. Wij hebben een geldig certificaat voor de domeinen geinstalleerd, waarbij er nu dus een andere root certificaat wordt gebruikt. Als je op jouw omgevingen het root-certificaat niet kent of niet vertrouwd dan krijg je foutmeldingen. In je browser regelen de makers van je browser dit, vanuit een applicatieomgeving moet je zelf zorgen dat je het nieuw PKI root certificaat vertrouwd.

johnvb · 1 oktober 2020 om 09:28

Ben even searches aan het testen met (1) alleen BRK, (2) BRK en BAG, en (3) BRK, BAG en Ruimtelijke Plannen. Omdat er met de parallellisatie meldingen door elkaar in de log file komen is het misschien niet BAG maar Ruimtelijke Plannen.

Als ik iets meer weet meld ik het.

johnvb · 1 oktober 2020 om 10:15

Excuses. Het is niet de BAG maar Ruimtelijke Plannen …

openssl s_client -showcerts -connect ruimte.omgevingswet.overheid.nl:443

geeft …

CONNECTED(00000005)
depth=0 serialNumber = 00000001821699180000, C = NL, ST = Zuid-Holland, L = 's-Gravenhage, O = Rijkswaterstaat, OU = Rijksoverheid, CN = ruimte.omgevingswet.overheid.nl
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 serialNumber = 00000001821699180000, C = NL, ST = Zuid-Holland, L = 's-Gravenhage, O = Rijkswaterstaat, OU = Rijksoverheid, CN = ruimte.omgevingswet.overheid.nl
verify error:num=27:certificate not trusted
verify return:1
depth=0 serialNumber = 00000001821699180000, C = NL, ST = Zuid-Holland, L = 's-Gravenhage, O = Rijkswaterstaat, OU = Rijksoverheid, CN = ruimte.omgevingswet.overheid.nl
verify error:num=21:unable to verify the first certificate
verify return:1

RobinTopper · 1 oktober 2020 om 11:37

Er lijkt inderdaad iets niet goed gegaan te zijn met het vervangen van het certificaat van ruimte.omgevingswet.overheid.nl. Er wordt naar gekeken.

johnvb · 5 oktober 2020 om 06:30

Krijg nog steeds de certificaat errors. Is er al zicht op een fix?

jasperroes · 5 oktober 2020 om 06:56

Ja, dit wordt gefixt met een nieuw certificaat. Het is alleen nog niet duidelijk wanneer dat nieuwe certificaat er is, daar wordt aan gewerkt maar is door de manier waarop het in elkaar steekt een wat complexe route die daardoor wat tijd kost.

johnvb · 20 oktober 2020 om 14:42

Is de fix al in zicht? Dit duurt wel erg lang.

jasperroes · 20 oktober 2020 om 15:34

We hadden verwacht dat het opgelost zou zijn, maar het nieuwe certificaat bleek niet te matchen met de info op de server. Het duurt dus helaas nog wat langer.

erikj · 3 november 2020 om 14:32

Is er inmiddels al iets bekend over een oplossing?
Alvast bedankt!

RobinTopper · 4 november 2020 om 12:31

Na 3 eerdere gefaalde pogingen is er zojuist eindelijk een valide certificaat geïnstalleerd.

johnvb · 4 november 2020 om 13:00

Altijd gedacht dat driemaal scheepsrecht was … mijn searches doen het in ieder geval weer!

RobinTopper · 5 november 2020 om 09:36