Discussion:
SSL storing news.xs4all.nl/news.kpn.nl?
(te oud om op te antwoorden)
Patrick Vervoorn
2022-12-04 14:26:40 UTC
Permalink
L.S.,

Als ik via ssh contact wil leggen met news.kpn.nl krijg ik de volgende
foutmelding:

$ ssh -4 news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Connection reset by 94.232.116.171 port 563

$ ssh news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Connection reset by 2001:67c:174:101:0:65:ff02:171 port 563

Een telnet naar news.xs4all.nl doet het nog wel:

$ telnet news.xs4all.nl nntp
Trying 2001:67c:174:101:0:65:ff02:172...
Connected to news.xs4all.nl.
Escape character is '^]'.
200 Welcome to KPN
quit
205 Bye. 20 bytes written, 0 accounted.
Connection closed by foreign host.

Storing?

Groeten, Patrick.
Maurice
2022-12-05 20:29:25 UTC
Permalink
Post by Patrick Vervoorn
L.S.,
Als ik via ssh contact wil leggen met news.kpn.nl krijg ik de volgende
$ ssh -4 news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Connection reset by 94.232.116.171 port 563
$ ssh news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Connection reset by 2001:67c:174:101:0:65:ff02:171 port 563
<snip>
Post by Patrick Vervoorn
Storing?
Voor zover ik weet is een ssh handshake niet compatibel met een SSL
handshake, dus die foutmelding verbaast me niet.
Met -p 443 naar een willekeurige website geeft namelijk dezelfde fout.
--
Maurice
Patrick Vervoorn
2022-12-06 00:41:54 UTC
Permalink
Post by Maurice
Post by Patrick Vervoorn
L.S.,
Als ik via ssh contact wil leggen met news.kpn.nl krijg ik de volgende
$ ssh -4 news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Connection reset by 94.232.116.171 port 563
$ ssh news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Connection reset by 2001:67c:174:101:0:65:ff02:171 port 563
<snip>
Post by Patrick Vervoorn
Storing?
Voor zover ik weet is een ssh handshake niet compatibel met een SSL
handshake, dus die foutmelding verbaast me niet.
Met -p 443 naar een willekeurige website geeft namelijk dezelfde fout.
Hmmm, ok.

Ik heb ondertussen contact gehad met XS4ALL en die geven aan dat het nog
gewoon werkt.

Het probleem zit 'm dus blijkbaar in mijn eigen Linux doosje.

Maar hoe kan ik dan wel eenvoudig testen of ik succesvol kan verbinden
met news.kpn.nl op poort 563?

Groeten, Patrick.
Roger
2022-12-06 05:05:40 UTC
Permalink
Post by Patrick Vervoorn
Post by Maurice
Post by Patrick Vervoorn
L.S.,
Als ik via ssh contact wil leggen met news.kpn.nl krijg ik de volgende
$ ssh -4 news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Connection reset by 94.232.116.171 port 563
$ ssh news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Connection reset by 2001:67c:174:101:0:65:ff02:171 port 563
<snip>
Post by Patrick Vervoorn
Storing?
Voor zover ik weet is een ssh handshake niet compatibel met een SSL
handshake, dus die foutmelding verbaast me niet.
Met -p 443 naar een willekeurige website geeft namelijk dezelfde fout.
Hmmm, ok.
Ik heb ondertussen contact gehad met XS4ALL en die geven aan dat het nog
gewoon werkt.
Het probleem zit 'm dus blijkbaar in mijn eigen Linux doosje.
Maar hoe kan ik dan wel eenvoudig testen of ik succesvol kan verbinden
met news.kpn.nl op poort 563?
openssl s_client -connect news.kpn.nl:563

Groeten,
-Roger
Patrick Vervoorn
2022-12-06 10:44:33 UTC
Permalink
Post by Roger
Post by Patrick Vervoorn
Post by Maurice
Post by Patrick Vervoorn
L.S.,
Als ik via ssh contact wil leggen met news.kpn.nl krijg ik de volgende
$ ssh -4 news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Connection reset by 94.232.116.171 port 563
$ ssh news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Connection reset by 2001:67c:174:101:0:65:ff02:171 port 563
<snip>
Post by Patrick Vervoorn
Storing?
Voor zover ik weet is een ssh handshake niet compatibel met een SSL
handshake, dus die foutmelding verbaast me niet.
Met -p 443 naar een willekeurige website geeft namelijk dezelfde fout.
Hmmm, ok.
Ik heb ondertussen contact gehad met XS4ALL en die geven aan dat het nog
gewoon werkt.
Het probleem zit 'm dus blijkbaar in mijn eigen Linux doosje.
Maar hoe kan ik dan wel eenvoudig testen of ik succesvol kan verbinden
met news.kpn.nl op poort 563?
openssl s_client -connect news.kpn.nl:563
Interessant, dit werkt!

Het lijkt dus aan stunnel te liggen; de tunnel daardoorheen werkt niet
meer. Weird.

Daar moet ik dus nog eens dieper in duiken.

Ter info: dit is op een Devuan Chimaera systeempje.

Ciao, Patrick.
Gertjan Klein
2022-12-06 12:14:35 UTC
Permalink
Post by Patrick Vervoorn
Post by Roger
openssl s_client -connect news.kpn.nl:563
Interessant, dit werkt!
Het lijkt dus aan stunnel te liggen; de tunnel daardoorheen werkt niet
meer. Weird.
Het werkt, maar er zijn certificaatfouten:

Verify return code: 10 (certificate has expired)

Misschien vindt stunnel dat niet leuk?

Groeten,
Gertjan.
Oscar
2022-12-06 13:39:07 UTC
Permalink
Post by Gertjan Klein
Post by Patrick Vervoorn
Post by Roger
openssl s_client -connect news.kpn.nl:563
Interessant, dit werkt!
Het lijkt dus aan stunnel te liggen; de tunnel daardoorheen werkt niet
meer. Weird.
Verify return code: 10 (certificate has expired)
Nogal ja. Die hele chain is in middels goed voor het grof vuil:

***@localhost:$ < /dev/null openssl s_client -verify 3 -connect news.kpn.nl:563
verify depth is 3
CONNECTED(00000005)
depth=3 C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden EV Root CA
verify return:1
depth=2 C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden Domein Server CA 2020
verify error:num=10:certificate has expired
notAfter=Dec 6 00:00:00 2022 GMT
verify return:1
depth=2 C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden Domein Server CA 2020
notAfter=Dec 6 00:00:00 2022 GMT
verify return:1
depth=1 C = NL, O = KPN B.V., CN = KPN PKIoverheid Server CA 2020
verify error:num=10:certificate has expired
notAfter=Dec 5 00:00:00 2022 GMT
verify return:1
depth=1 C = NL, O = KPN B.V., CN = KPN PKIoverheid Server CA 2020
notAfter=Dec 5 00:00:00 2022 GMT
verify return:1
depth=0 C = NL, L = Rotterdam, O = Koninklijke KPN N.V., serialNumber = 00000003020452000000, CN = kpn.nl
verify error:num=10:certificate has expired
notAfter=Dec 4 13:30:37 2022 GMT
verify return:1
depth=0 C = NL, L = Rotterdam, O = Koninklijke KPN N.V., serialNumber = 00000003020452000000, CN = kpn.nl
notAfter=Dec 4 13:30:37 2022 GMT
verify return:1
---
Certificate chain
0 s:C = NL, L = Rotterdam, O = Koninklijke KPN N.V., serialNumber = 00000003020452000000, CN = kpn.nl
i:C = NL, O = KPN B.V., CN = KPN PKIoverheid Server CA 2020
1 s:C = NL, O = KPN B.V., CN = KPN PKIoverheid Server CA 2020
i:C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden Domein Server CA 2020
2 s:C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden Domein Server CA 2020
i:C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden EV Root CA
3 s:C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden EV Root CA
i:C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden EV Root CA
---


Zou er nog iemand werken die weet waar je die certificaten in moet hangen?
--
[J|O|R] <- .signature.gz
Roger
2022-12-06 14:07:23 UTC
Permalink
Post by Oscar
Post by Gertjan Klein
Post by Patrick Vervoorn
Post by Roger
openssl s_client -connect news.kpn.nl:563
Interessant, dit werkt!
Het lijkt dus aan stunnel te liggen; de tunnel daardoorheen werkt niet
meer. Weird.
Verify return code: 10 (certificate has expired)
verify depth is 3
CONNECTED(00000005)
depth=3 C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden EV Root CA
verify return:1
Deze werkt nog: tot overmorgen...
Post by Oscar
depth=2 C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden Domein Server CA 2020
verify error:num=10:certificate has expired
notAfter=Dec 6 00:00:00 2022 GMT
verify return:1
depth=2 C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden Domein Server CA 2020
notAfter=Dec 6 00:00:00 2022 GMT
verify return:1
depth=1 C = NL, O = KPN B.V., CN = KPN PKIoverheid Server CA 2020
verify error:num=10:certificate has expired
notAfter=Dec 5 00:00:00 2022 GMT
verify return:1
depth=1 C = NL, O = KPN B.V., CN = KPN PKIoverheid Server CA 2020
notAfter=Dec 5 00:00:00 2022 GMT
verify return:1
depth=0 C = NL, L = Rotterdam, O = Koninklijke KPN N.V., serialNumber = 00000003020452000000, CN = kpn.nl
verify error:num=10:certificate has expired
notAfter=Dec 4 13:30:37 2022 GMT
verify return:1
depth=0 C = NL, L = Rotterdam, O = Koninklijke KPN N.V., serialNumber = 00000003020452000000, CN = kpn.nl
notAfter=Dec 4 13:30:37 2022 GMT
verify return:1
---
Certificate chain
0 s:C = NL, L = Rotterdam, O = Koninklijke KPN N.V., serialNumber = 00000003020452000000, CN = kpn.nl
i:C = NL, O = KPN B.V., CN = KPN PKIoverheid Server CA 2020
1 s:C = NL, O = KPN B.V., CN = KPN PKIoverheid Server CA 2020
i:C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden Domein Server CA 2020
2 s:C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden Domein Server CA 2020
i:C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden EV Root CA
3 s:C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden EV Root CA
i:C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden EV Root CA
---
Zou er nog iemand werken die weet waar je die certificaten in moet hangen?
Het vernieuwen van het certificaat is vast ergens gescript. En dan vergeet je wel eens
dat ook een CA niet het eeuwige leven heeft. Een typische certificaatbeheer fuckup.

Groeten,
-Roger
Roger
2022-12-06 14:16:31 UTC
Permalink
Post by Gertjan Klein
Post by Patrick Vervoorn
Post by Roger
openssl s_client -connect news.kpn.nl:563
Interessant, dit werkt!
Het lijkt dus aan stunnel te liggen; de tunnel daardoorheen werkt niet
meer. Weird.
Verify return code: 10 (certificate has expired)
Misschien vindt stunnel dat niet leuk?
Vast niet. Je zou als workaround 'verify = 0' bij de betreffende service
in stunnel.conf kunnen zetten totdat ze bij KPN de rommel hebben opgeruimd.

Groeten,
-Roger
Patrick Vervoorn
2022-12-06 22:01:58 UTC
Permalink
Post by Roger
Post by Gertjan Klein
Post by Patrick Vervoorn
Post by Roger
openssl s_client -connect news.kpn.nl:563
Interessant, dit werkt!
Het lijkt dus aan stunnel te liggen; de tunnel daardoorheen werkt niet
meer. Weird.
Verify return code: 10 (certificate has expired)
Misschien vindt stunnel dat niet leuk?
Vast niet. Je zou als workaround 'verify = 0' bij de betreffende service
in stunnel.conf kunnen zetten totdat ze bij KPN de rommel hebben opgeruimd.
Het zou dus kunnen dat stunnel iets stricter is dan openssh? En het dus
toch NIET een lokaal probleem is?

Ik heb verify = 0 toegevoegd aan de .conf file, maar dat lost het helaas
niet op.
Kan ik nog meer doen om stunnel om de tuin te leiden?

Kan ik op de een of andere manier logging uit stunnel krijgen?

(Wat ik nu heb lopen werkt eerder bij toeval dan door enige
deskundigheid van mij, maar het heeft wel maandenlang goed gewerkt. Tot
afgelopen zondagmiddag... :)
Post by Roger
Groeten,
-Roger
Ciao, Patrick.
Patrick Vervoorn
2022-12-06 22:25:20 UTC
Permalink
Post by Patrick Vervoorn
Post by Roger
Post by Gertjan Klein
Post by Patrick Vervoorn
Post by Roger
openssl s_client -connect news.kpn.nl:563
Interessant, dit werkt!
Het lijkt dus aan stunnel te liggen; de tunnel daardoorheen werkt niet
meer. Weird.
Verify return code: 10 (certificate has expired)
Misschien vindt stunnel dat niet leuk?
Vast niet. Je zou als workaround 'verify = 0' bij de betreffende service
in stunnel.conf kunnen zetten totdat ze bij KPN de rommel hebben opgeruimd.
Het zou dus kunnen dat stunnel iets stricter is dan openssh? En het dus
toch NIET een lokaal probleem is?
Ik heb verify = 0 toegevoegd aan de .conf file, maar dat lost het helaas
niet op.
Kan ik nog meer doen om stunnel om de tuin te leiden?
Kan ik op de een of andere manier logging uit stunnel krijgen?
(Wat ik nu heb lopen werkt eerder bij toeval dan door enige
deskundigheid van mij, maar het heeft wel maandenlang goed gewerkt. Tot
afgelopen zondagmiddag... :)
Zelf eens gezocht en via debug = 7 in de .conf file wordt er een hoop
informatie richting syslog gestuurd.

Als stunnel reeds is opgestart, en ik vervolgens daadwerkelijk
verbinding met stunnel probeer te maken valt het volgende in dat log op:

Dec 6 23:21:19 morannon stunnel: LOG7[2]: Verification started at depth=3: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden EV Root CA
Dec 6 23:21:19 morannon stunnel: LOG7[2]: CERT: Pre-verification succeeded
Dec 6 23:21:19 morannon stunnel: LOG7[2]: OCSP: Ignoring root certificate
Dec 6 23:21:19 morannon stunnel: LOG6[2]: Certificate accepted at depth=3: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden EV Root CA
Dec 6 23:21:19 morannon stunnel: LOG7[2]: Verification started at depth=2: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Domein Server CA 2020
Dec 6 23:21:19 morannon stunnel: LOG4[2]: CERT: Pre-verification error: certificate has expired
Dec 6 23:21:19 morannon stunnel: LOG4[2]: Rejected by CERT at depth=2: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Domein Server CA 2020
Dec 6 23:21:19 morannon stunnel: LOG7[2]: TLS alert (write): fatal: certificate expired
Dec 6 23:21:19 morannon stunnel: LOG3[2]: SSL_connect: ../ssl/statem/statem_clnt.c:1914: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

Is dit dus waar het op mis gaat?
Hoe kan ik stunnnel vertellen dat hij dit moet negeren?

verify = 0 staat reeds in de .conf, maar is dus niet de oplossing.

Ciao, Patrick.
Roger
2022-12-07 11:07:30 UTC
Permalink
Post by Patrick Vervoorn
Zelf eens gezocht en via debug = 7 in de .conf file wordt er een hoop
informatie richting syslog gestuurd.
Als stunnel reeds is opgestart, en ik vervolgens daadwerkelijk
Dec 6 23:21:19 morannon stunnel: LOG7[2]: Verification started at depth=3: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden EV Root CA
Dec 6 23:21:19 morannon stunnel: LOG7[2]: CERT: Pre-verification succeeded
Dec 6 23:21:19 morannon stunnel: LOG7[2]: OCSP: Ignoring root certificate
Dec 6 23:21:19 morannon stunnel: LOG6[2]: Certificate accepted at depth=3: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden EV Root CA
Dec 6 23:21:19 morannon stunnel: LOG7[2]: Verification started at depth=2: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Domein Server CA 2020
Dec 6 23:21:19 morannon stunnel: LOG4[2]: CERT: Pre-verification error: certificate has expired
Dec 6 23:21:19 morannon stunnel: LOG4[2]: Rejected by CERT at depth=2: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Domein Server CA 2020
Dec 6 23:21:19 morannon stunnel: LOG7[2]: TLS alert (write): fatal: certificate expired
Dec 6 23:21:19 morannon stunnel: LOG3[2]: SSL_connect: ../ssl/statem/statem_clnt.c:1914: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Is dit dus waar het op mis gaat?
Hoe kan ik stunnnel vertellen dat hij dit moet negeren?
verify = 0 staat reeds in de .conf, maar is dus niet de oplossing.
In de service sectie voor new.kpn.nl, neem ik aan? Het is een service optie,
geen globale.

Maar het is mij eerlijk gezegd niet duidelijk wat die optie precies wel en
niet doet. 'verify =' is deprecated en de vervangende optie verifyPeer lijkt
toch iets anders te doen. Ik heb 'verify = 0' in het verleden vooral gebruikt
gezien voor remote servers met self signed certificaten. Het zou best kunnen
dat een verlopen certificaat altijd een harde show stopper is.

Hier moet gewoon iemand bij Abavia (waar KPN de news service heeft uitbesteed)
aan de slag om een geldig certificaat te installeren.

Groeten,
-Roger
Patrick Vervoorn
2022-12-07 17:36:08 UTC
Permalink
Post by Patrick Vervoorn
Post by Patrick Vervoorn
Zelf eens gezocht en via debug = 7 in de .conf file wordt er een hoop
informatie richting syslog gestuurd.
Als stunnel reeds is opgestart, en ik vervolgens daadwerkelijk
Dec 6 23:21:19 morannon stunnel: LOG7[2]: Verification started at
depth=3: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden EV Root
CA
Post by Patrick Vervoorn
Dec 6 23:21:19 morannon stunnel: LOG7[2]: CERT: Pre-verification succeeded
Dec 6 23:21:19 morannon stunnel: LOG7[2]: OCSP: Ignoring root certificate
Dec 6 23:21:19 morannon stunnel: LOG6[2]: Certificate accepted at
depth=3: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden EV Root
CA
Post by Patrick Vervoorn
Dec 6 23:21:19 morannon stunnel: LOG7[2]: Verification started at
depth=2: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Domein
Server CA 2020
Post by Patrick Vervoorn
Dec 6 23:21:19 morannon stunnel: LOG4[2]: CERT: Pre-verification
error: certificate has expired
Post by Patrick Vervoorn
Dec 6 23:21:19 morannon stunnel: LOG4[2]: Rejected by CERT at
depth=2: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Domein
Server CA 2020
certificate expired
../ssl/statem/statem_clnt.c:1914: error:1416F086:SSL
routines:tls_process_server_certificate:certificate verify failed
Post by Patrick Vervoorn
Is dit dus waar het op mis gaat?
Hoe kan ik stunnnel vertellen dat hij dit moet negeren?
verify = 0 staat reeds in de .conf, maar is dus niet de oplossing.
In de service sectie voor new.kpn.nl, neem ik aan? Het is een service optie,
geen globale.
Ja, het staat in een aparte .conf met de volgende inhoud:

[xs4all-kpnnews]
client = yes
accept = 146
connect = news.kpn.nl:563
checkHost = news.kpn.nl
verify = 0
verifyChain = yes
CApath = /etc/ssl/certs
OCSPaia = no
libwrap = yes
debug = 7

Maar volgens het log wil 'ie er niet aan.
Post by Patrick Vervoorn
Maar het is mij eerlijk gezegd niet duidelijk wat die optie precies wel en
niet doet. 'verify =' is deprecated en de vervangende optie verifyPeer lijkt
toch iets anders te doen. Ik heb 'verify = 0' in het verleden vooral gebruikt
gezien voor remote servers met self signed certificaten. Het zou best kunnen
dat een verlopen certificaat altijd een harde show stopper is.
Ik zag in de documenatie inderdaad dat het depracated is. Spelen met de
alternatieve genoemde opties leverde helaas niks op.

Van mij mag alle encryptie en security wel overboord, zolang het maar
weer werkt.
Post by Patrick Vervoorn
Hier moet gewoon iemand bij Abavia (waar KPN de news service heeft
uitbesteed) aan de slag om een geldig certificaat te installeren.
Tsja, vroeger las hier nog wel eens iemand van XS4ALL mee, maar die
tijden zijn vast definitief over.

Ik ga morgenochtend eens opnieuw bellen met XS4KPN in de hoop dat mensen
daar wakker schrikken.

Ik dacht trouwens dat ze dit aan XSNews hadden uitbesteed? Maar een
snelle check levert op dat die door Abavia worden gehost?
Post by Patrick Vervoorn
Groeten,
-Roger
Ciao, Patrick.
Mark Huizer
2022-12-07 18:08:24 UTC
Permalink
Post by Patrick Vervoorn
Van mij mag alle encryptie en security wel overboord, zolang het maar
weer werkt.
Waarom gebruik je dan NNTPS en niet gewoon NNTP zonder encryptie? (dus
ipv 563 op 119). Authenticatie is er niet meer bij volgens mij, dus erg
veel valt er niet te bereiken met security in dit specifieke geval.

Mark
Post by Patrick Vervoorn
Post by Roger
Hier moet gewoon iemand bij Abavia (waar KPN de news service heeft
uitbesteed) aan de slag om een geldig certificaat te installeren.
Tsja, vroeger las hier nog wel eens iemand van XS4ALL mee, maar die
tijden zijn vast definitief over.
Die beheren de nieuwsserver ook niet meer, dus die kunnen erg weinig
voor je betekenen, denk ik.
Mark
Patrick Vervoorn
2022-12-07 22:08:46 UTC
Permalink
Post by Mark Huizer
Post by Patrick Vervoorn
Van mij mag alle encryptie en security wel overboord, zolang het maar
weer werkt.
Waarom gebruik je dan NNTPS en niet gewoon NNTP zonder encryptie? (dus
ipv 563 op 119). Authenticatie is er niet meer bij volgens mij, dus erg
veel valt er niet te bereiken met security in dit specifieke geval.
De reden is simpel: het lukt me tot nu toe niet om een eenvoudige
port-forward voor elkaar te krijgen via iptables.

Met stunnel lukt het me wel.

Dus gebruik ik het tool dat werkt, ook al is dat, relatief gezien, een
heimachine vs een hamert.
Post by Mark Huizer
Post by Patrick Vervoorn
Tsja, vroeger las hier nog wel eens iemand van XS4ALL mee, maar die
tijden zijn vast definitief over.
Die beheren de nieuwsserver ook niet meer, dus die kunnen erg weinig
voor je betekenen, denk ik.
Beheren misschien niet, maar o.a. Miquel heeft nog wel wat zaken gefikst
bij XSnews tijdens de transitie daarnaartoe vanaf newszilla.

Dus zij zouden, in theorie dan, een hintje kunnen droppen bij de
techneuten aldaar. Paarse broeken snappen hier natuurlijk niks van.
Post by Mark Huizer
Mark
Ciao, Patrick.
Roger
2022-12-07 10:17:43 UTC
Permalink
Post by Patrick Vervoorn
(Wat ik nu heb lopen werkt eerder bij toeval dan door enige
deskundigheid van mij, maar het heeft wel maandenlang goed gewerkt. Tot
afgelopen zondagmiddag... :)
Niet verwonderlijk: het certificaat van news.kpn.nl verliep op 4 december
2022 om 13:30:37 GMT. Zondagmiddag dus...

Groeten,
-Roger
Patrick Vervoorn
2022-12-07 17:31:07 UTC
Permalink
Post by Roger
Post by Patrick Vervoorn
(Wat ik nu heb lopen werkt eerder bij toeval dan door enige
deskundigheid van mij, maar het heeft wel maandenlang goed gewerkt. Tot
afgelopen zondagmiddag... :)
Niet verwonderlijk: het certificaat van news.kpn.nl verliep op 4 december
2022 om 13:30:37 GMT. Zondagmiddag dus...
Dat past inderdaad knap precies bij mijn ervaringen...
Post by Roger
Groeten,
-Roger
Ciao, Patrick.
unknown
2022-12-06 12:31:24 UTC
Permalink
Post by Patrick Vervoorn
Ik heb ondertussen contact gehad met XS4ALL en die geven aan dat het nog
gewoon werkt.
Bij mij werkt het toch ook niet:

$ ssh news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
--
robert
Roger
2022-12-06 14:19:00 UTC
Permalink
Post by Patrick Vervoorn
Post by Patrick Vervoorn
Ik heb ondertussen contact gehad met XS4ALL en die geven aan dat het nog
gewoon werkt.
$ ssh news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Het is hier al genoemd: SSH != SSL/TLS.

Groeten,
-Roger
unknown
2022-12-06 14:32:56 UTC
Permalink
Post by Roger
Post by Patrick Vervoorn
Post by Patrick Vervoorn
Ik heb ondertussen contact gehad met XS4ALL en die geven aan dat het nog
gewoon werkt.
$ ssh news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Het is hier al genoemd: SSH != SSL/TLS.
Uiteraard, maar Patrick denkt nu door een vreemde uitspraak van XS4ALL dat
het een lokaal probleem zou zijn.
--
robert
Patrick Vervoorn
2022-12-06 22:03:02 UTC
Permalink
Post by unknown
Post by Roger
Post by Patrick Vervoorn
Post by Patrick Vervoorn
Ik heb ondertussen contact gehad met XS4ALL en die geven aan dat het nog
gewoon werkt.
$ ssh news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Het is hier al genoemd: SSH != SSL/TLS.
Uiteraard, maar Patrick denkt nu door een vreemde uitspraak van XS4ALL dat
het een lokaal probleem zou zijn.
Nou ja, na de 1e lijns support (die van toeten nog blazen wist) kwam ik
bij een 2e lijn terecht (opnieuw wachten) en die gaf aan dat Spotnet
onder Windows nog goed werkte...

Maar dat is mogelijk ook toeval dan?

Nogmaals: ik heb hier nauwelijks verstand van...

Ciao, Patrick.
Patrick Vervoorn
2022-12-06 22:34:11 UTC
Permalink
Post by Patrick Vervoorn
Nou ja, na de 1e lijns support (die van toeten nog blazen wist) kwam ik
Foei. nog = noch.
't Is laat... :S

Ciao, Patrick.
richard lucassen
2022-12-06 23:35:48 UTC
Permalink
On Tue, 06 Dec 2022 23:34:11 +0100
Post by Patrick Vervoorn
Post by Patrick Vervoorn
Nou ja, na de 1e lijns support (die van toeten nog blazen wist) kwam ik
Foei. nog = noch.
't Is laat... :S
Het verschil tussen "naar" en "na" ontgaat sommigen onder ons ook wel
eens...

Of "nieuwschierig", ook zo'n fraaie :-)
--
richard lucassen
http://contact.xaq.nl/
Roger
2022-12-07 09:55:13 UTC
Permalink
Post by Patrick Vervoorn
Post by unknown
Post by Roger
Post by Patrick Vervoorn
Post by Patrick Vervoorn
Ik heb ondertussen contact gehad met XS4ALL en die geven aan dat het nog
gewoon werkt.
$ ssh news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Het is hier al genoemd: SSH != SSL/TLS.
Uiteraard, maar Patrick denkt nu door een vreemde uitspraak van XS4ALL dat
het een lokaal probleem zou zijn.
Nou ja, na de 1e lijns support (die van toeten nog blazen wist) kwam ik
bij een 2e lijn terecht (opnieuw wachten) en die gaf aan dat Spotnet
onder Windows nog goed werkte...
Dat een bepaald programma wel werkt, is geen bewijs dat er niets mis is.
Misschien controleert Spotnet de geldigheid van het certificaat niet (of
negeert gewoon de fout).
Post by Patrick Vervoorn
Maar dat is mogelijk ook toeval dan?
Nee. De test met openssl laat zien dat het certificaat van news.kpn.nl zeer
recent verlopen is. Dat kan alleen worden verholpen door de beheerder van
die server.

Groeten,
-Roger
Patrick Vervoorn
2022-12-07 17:32:17 UTC
Permalink
Post by Roger
Post by Patrick Vervoorn
Post by unknown
Post by Roger
Post by Patrick Vervoorn
Post by Patrick Vervoorn
Ik heb ondertussen contact gehad met XS4ALL en die geven aan dat het nog
gewoon werkt.
$ ssh news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Het is hier al genoemd: SSH != SSL/TLS.
Uiteraard, maar Patrick denkt nu door een vreemde uitspraak van XS4ALL dat
het een lokaal probleem zou zijn.
Nou ja, na de 1e lijns support (die van toeten nog blazen wist) kwam ik
bij een 2e lijn terecht (opnieuw wachten) en die gaf aan dat Spotnet
onder Windows nog goed werkte...
Dat een bepaald programma wel werkt, is geen bewijs dat er niets mis is.
Misschien controleert Spotnet de geldigheid van het certificaat niet (of
negeert gewoon de fout).
Maar dit zou in moeten houden dat alle tooling die 'serieus' SSL doet
ook om zou moeten vallen?

Ik zou dan ook verwachten dat meer mensen merken dat de verbinding niet
meer opgebouwd kan worden...
Post by Roger
Post by Patrick Vervoorn
Maar dat is mogelijk ook toeval dan?
Nee. De test met openssl laat zien dat het certificaat van news.kpn.nl zeer
recent verlopen is. Dat kan alleen worden verholpen door de beheerder van
die server.
Check.
Post by Roger
Groeten,
-Roger
Ciao, Patrick.
Roger
2022-12-07 19:04:53 UTC
Permalink
Post by Patrick Vervoorn
Post by Roger
Post by Patrick Vervoorn
Post by unknown
Post by Roger
Post by Patrick Vervoorn
Post by Patrick Vervoorn
Ik heb ondertussen contact gehad met XS4ALL en die geven aan dat het nog
gewoon werkt.
$ ssh news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Het is hier al genoemd: SSH != SSL/TLS.
Uiteraard, maar Patrick denkt nu door een vreemde uitspraak van XS4ALL dat
het een lokaal probleem zou zijn.
Nou ja, na de 1e lijns support (die van toeten nog blazen wist) kwam ik
bij een 2e lijn terecht (opnieuw wachten) en die gaf aan dat Spotnet
onder Windows nog goed werkte...
Dat een bepaald programma wel werkt, is geen bewijs dat er niets mis is.
Misschien controleert Spotnet de geldigheid van het certificaat niet (of
negeert gewoon de fout).
Maar dit zou in moeten houden dat alle tooling die 'serieus' SSL doet
ook om zou moeten vallen?
Ik zou dan ook verwachten dat meer mensen merken dat de verbinding niet
meer opgebouwd kan worden...
Inderdaad. En deze opmerking deed bij mij een lampje branden.

Het gros van de native KPN klanten zal vermoedelijk niet eens weten wat
usenet/news is. Het handjevol dat dat wel weet zal het probleem nu ook
wel hebben.

De meeste gebruikers van de news service zullen voormalige XS4ALL klanten
zijn en die zullen denk ik news.xs4all.nl/newszilla.xs4all.nl in hun news
reader hebben geconfigureerd. Deze service heeft een eigen IP-adres en een
eigen wel geldig certificaat. Het zou mij niet verbazen als de helpdesk ook
naar die service heeft zitten kijken (dan ligt het ook niet aan Spotnet dat
het wel werkt).

Maar... waarom gebruik je als voormalig XS4ALL-klant eigenlijk news.kpn.nl ?

Groeten,
-Roger
Patrick Vervoorn
2022-12-07 22:06:06 UTC
Permalink
Post by Roger
Post by Patrick Vervoorn
Maar dit zou in moeten houden dat alle tooling die 'serieus' SSL doet
ook om zou moeten vallen?
Ik zou dan ook verwachten dat meer mensen merken dat de verbinding niet
meer opgebouwd kan worden...
Inderdaad. En deze opmerking deed bij mij een lampje branden.
Het gros van de native KPN klanten zal vermoedelijk niet eens weten wat
usenet/news is. Het handjevol dat dat wel weet zal het probleem nu ook
wel hebben.
Dat zijn er toch best wel veel, en daarvan gaan er toch paar bellen of
mekkeren op het kpn forum...?
Post by Roger
De meeste gebruikers van de news service zullen voormalige XS4ALL
klanten zijn en die zullen denk ik news.xs4all.nl/newszilla.xs4all.nl
in hun news reader hebben geconfigureerd. Deze service heeft een eigen
IP-adres en een eigen wel geldig certificaat. Het zou mij niet verbazen
als de helpdesk ook naar die service heeft zitten kijken (dan ligt het
ook niet aan Spotnet dat het wel werkt).
Krijg nou wat, news.xsall.nl en newszilla.xs4all.nl resolven inderdaad
naar een subtiel ander ip-adres als news.kpn.nl.

Ik heb daarom mijn .conf aangepast naar news.xs4all.nl en nu werkt het
weer!

Dank voor dit inzicht!
Post by Roger
Maar... waarom gebruik je als voormalig XS4ALL-klant eigenlijk news.kpn.nl ?
Ik ben nog steeds XS4ALL klant hoor...?
Post by Roger
Groeten,
-Roger
Ciao, Patrick.
Roger
2022-12-08 06:38:44 UTC
Permalink
Post by Patrick Vervoorn
Post by Roger
Het gros van de native KPN klanten zal vermoedelijk niet eens weten wat
usenet/news is. Het handjevol dat dat wel weet zal het probleem nu ook
wel hebben.
Dat zijn er toch best wel veel, en daarvan gaan er toch paar bellen of
mekkeren op het kpn forum...?
Met "native KPN klanten" bedoel ik klanten die van oudsher bij KPN zaten.
Daar was usenet/news nooit een thema van betekenis. En de meeste gebruikers
zullen denk ik onversleuteld NNTP over poort 119 gebruiken (dat is in bv.
Thunderbird nog steeds de default). Die hebben geen probleem.

Er is op het KPN forum inmiddels wel een topic over dit probleem:
https://forum.kpn.com/internet-9/news-kpn-nl-werkt-niet-meer-579898
Daar word ik zelfs geciteerd (zonder bronvermelding).

Ik ben benieuwd hoe lang het duurt tot dit is opgelost. Ik kan mij
voorstellen dat KPN alle usenet diensten bij elkaar veegt. Dat kost
een paar dagen.

Groeten,
-Roger
Patrick Vervoorn
2022-12-08 08:34:44 UTC
Permalink
Post by Roger
Post by Patrick Vervoorn
Post by Roger
Het gros van de native KPN klanten zal vermoedelijk niet eens weten wat
usenet/news is. Het handjevol dat dat wel weet zal het probleem nu ook
wel hebben.
Dat zijn er toch best wel veel, en daarvan gaan er toch paar bellen of
mekkeren op het kpn forum...?
Met "native KPN klanten" bedoel ik klanten die van oudsher bij KPN zaten.
Daar was usenet/news nooit een thema van betekenis. En de meeste gebruikers
zullen denk ik onversleuteld NNTP over poort 119 gebruiken (dat is in bv.
Thunderbird nog steeds de default). Die hebben geen probleem.
https://forum.kpn.com/internet-9/news-kpn-nl-werkt-niet-meer-579898
Daar word ik zelfs geciteerd (zonder bronvermelding).
Ik zie het, haha. Nou, dan heeft mijn belletje ook weinig zin...
Post by Roger
Ik ben benieuwd hoe lang het duurt tot dit is opgelost. Ik kan mij
voorstellen dat KPN alle usenet diensten bij elkaar veegt. Dat kost
een paar dagen.
Ik zal het topic eens in de gaten houden en als daar gemeld wordt dat er
iets gefikst is kan ik het eens opnieuw proberen.
Post by Roger
Groeten,
-Roger
Ciao, Patrick.
Roger
2022-12-12 09:55:39 UTC
Permalink
Post by Patrick Vervoorn
Post by Roger
Post by Patrick Vervoorn
Post by Roger
Het gros van de native KPN klanten zal vermoedelijk niet eens weten wat
usenet/news is. Het handjevol dat dat wel weet zal het probleem nu ook
wel hebben.
Dat zijn er toch best wel veel, en daarvan gaan er toch paar bellen of
mekkeren op het kpn forum...?
Met "native KPN klanten" bedoel ik klanten die van oudsher bij KPN zaten.
Daar was usenet/news nooit een thema van betekenis. En de meeste gebruikers
zullen denk ik onversleuteld NNTP over poort 119 gebruiken (dat is in bv.
Thunderbird nog steeds de default). Die hebben geen probleem.
https://forum.kpn.com/internet-9/news-kpn-nl-werkt-niet-meer-579898
Daar word ik zelfs geciteerd (zonder bronvermelding).
Ik zie het, haha. Nou, dan heeft mijn belletje ook weinig zin...
Post by Roger
Ik ben benieuwd hoe lang het duurt tot dit is opgelost. Ik kan mij
voorstellen dat KPN alle usenet diensten bij elkaar veegt. Dat kost
een paar dagen.
Ik zal het topic eens in de gaten houden en als daar gemeld wordt dat er
iets gefikst is kan ik het eens opnieuw proberen.
Het probleem is opgelost: KPN heeft een nieuw certificaat geïnstalleerd
voor news.kpn.nl/textnews.kpn.nl :)

Groeten,
-Roger
Patrick Vervoorn
2022-12-12 18:46:48 UTC
Permalink
Post by Patrick Vervoorn
Post by Roger
Post by Patrick Vervoorn
Post by Roger
Het gros van de native KPN klanten zal vermoedelijk niet eens weten wat
usenet/news is. Het handjevol dat dat wel weet zal het probleem nu ook
wel hebben.
Dat zijn er toch best wel veel, en daarvan gaan er toch paar bellen of
mekkeren op het kpn forum...?
Met "native KPN klanten" bedoel ik klanten die van oudsher bij KPN zaten.
Daar was usenet/news nooit een thema van betekenis. En de meeste gebruikers
zullen denk ik onversleuteld NNTP over poort 119 gebruiken (dat is in bv.
Thunderbird nog steeds de default). Die hebben geen probleem.
https://forum.kpn.com/internet-9/news-kpn-nl-werkt-niet-meer-579898
Daar word ik zelfs geciteerd (zonder bronvermelding).
Ik zie het, haha. Nou, dan heeft mijn belletje ook weinig zin...
Post by Roger
Ik ben benieuwd hoe lang het duurt tot dit is opgelost. Ik kan mij
voorstellen dat KPN alle usenet diensten bij elkaar veegt. Dat kost
een paar dagen.
Ik zal het topic eens in de gaten houden en als daar gemeld wordt dat er
iets gefikst is kan ik het eens opnieuw proberen.
Het probleem is opgelost: KPN heeft een nieuw certificaat geïnstalleerd
voor news.kpn.nl/textnews.kpn.nl :)
Ik zag het, maar blijf gewoon stunnel op news.xs4all.nl richten.

Vond dit wel een hele educatieve link uit het forum:

https://www.sslshopper.com/ssl-checker.html#hostname=news.kpn.nl:563

Ciao, Patrick.
Erik
2022-12-13 08:13:44 UTC
Permalink
Post by Roger
Het probleem is opgelost: KPN heeft een nieuw certificaat geïnstalleerd
voor news.kpn.nl/textnews.kpn.nl :)
Groeten,
-Roger
Hoi,

Ja, Thunderbird werkt nu ook weer. :)

Groet,
Erik

Coen
2022-12-06 23:24:51 UTC
Permalink
Post by Patrick Vervoorn
L.S.,
Als ik via ssh contact wil leggen met news.kpn.nl krijg ik de volgende
Storing?
Zelfde probleem hier met Thunderbird op Windows 10.
Net omgeschakeld van 563 naar 119 en opeens komt er een hele prak
berichten binnen van de afgelopen dagen.

Thunderbird geeft verder geen foutmelding.
Coen
2022-12-06 23:31:47 UTC
Permalink
Post by Coen
Zelfde probleem hier met Thunderbird op Windows 10.
Net omgeschakeld van 563 naar 119 en opeens komt er een hele prak
berichten binnen van de afgelopen dagen.
Thunderbird geeft verder geen foutmelding.
SSL weer aan en geen probleem.
Raar...

Met jouw bericht er bij en mijn bevindingen weet ik zeker dat er *iets* was.
Loading...