Du bist nicht angemeldet.

#1 01.05.2010 09:43:49

Pierre
Entwickler

IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Da sich kein eigener Beitrag lohnt, fasse ich hier ein paar Hinweise zum Server zusammen.

Zunächst ist die Beta-Phase der IPv6-Anbindung nun abgeschlossen. Leider musste da durch die IP geändert werden; dank DNS wird das aber niemand bemerkt haben. smile Die IP besitzt nun auch einen korrekten reverse-Eintrag für IPv6, so dass es hier keine Probleme mehr geben sollte. (Zumindest ein Mail-Provider (freenet)) hat Mails fälschlicherweise als Spam markiert, da kein reverse-Eintrag vorhanden war. Alle Dienste sind sowohl per ipv4 als auch unter ipv6 erreichbar; für die Zukunft sind wir also gerüstet. (es handelt sich übrigens um native ipv6-Anbindung, also kein Tunnel o.Ä.; die Performance oder Erreichbarkeit unter ipv6 leidet also nicht)

Des weiteren war zwischen Sonntag (25.4.) von etwa 22 Uhr bis Montag (26.4.) 7 Uhr der Webserver nicht erreichbar. Was genau passiert war kann ich leider noch nicht sagen. Der lighttpd-Prozess lief einfach nicht mehr. (die PHP-Prozesse liefen allerdings noch). In den Logs war nichts offensichtliches zu finden und es gab auch keine Anzeichen für hohe Last oder Traffic zu diesem Zeitpunkt.

Für Dienstag den 04.05.2010 hat Strato zwischen 23:30 und 01:30 Wartungsarbeiten am Netz angekündigt, so dass der Server evtl. für ein paar Minuten nicht erreichbar sein wird.

Und wo wir gerade bei Problemen sind: die Tage hatte ich eine ziemlich lange Verzögerung beim Aufruf der Webseiten. Allerdings immer nur bei der ersten Anfrage. Mein Verdacht ist, dass hier der Aufbau der SSL-Session sehr lange dauerte. Hat jemand vielleicht ähnliche Beobachtungen gemacht? Serverseitig war weder hohe Last noch besondere Log-Einträge vorhanden.

Offline

#2 01.05.2010 11:10:22

karotium
Mitglied

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Pierre schrieb:

Und wo wir gerade bei Problemen sind: die Tage hatte ich eine ziemlich lange Verzögerung beim Aufruf der Webseiten. Allerdings immer nur bei der ersten Anfrage. Mein Verdacht ist, dass hier der Aufbau der SSL-Session sehr lange dauerte. Hat jemand vielleicht ähnliche Beobachtungen gemacht? Serverseitig war weder hohe Last noch besondere Log-Einträge vorhanden.

Das habe ich auch beobachtet. Aber nicht nur bei der ersten Anfrage, sondern auch mitten drin. Allerdings nicht immer. Es scheint von der Tagesform ab zu hängen.

Offline

#3 01.05.2010 11:33:09

PMedia
Mitglied

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

karotium schrieb:
Pierre schrieb:

Und wo wir gerade bei Problemen sind: die Tage hatte ich eine ziemlich lange Verzögerung beim Aufruf der Webseiten. Allerdings immer nur bei der ersten Anfrage. Mein Verdacht ist, dass hier der Aufbau der SSL-Session sehr lange dauerte. Hat jemand vielleicht ähnliche Beobachtungen gemacht? Serverseitig war weder hohe Last noch besondere Log-Einträge vorhanden.

Das habe ich auch beobachtet. Aber nicht nur bei der ersten Anfrage, sondern auch mitten drin. Allerdings nicht immer. Es scheint von der Tagesform ab zu hängen.

Ja, ich kann natürlich Probleme bestätigen.
Das laden des Zitat-Editors hier hat zB 12 Sekunden benötigt.
Warum das so ist, dafür habe ich noch keine Vermutung, jedoch war ich seit dem Öffnen des Threads knapp 5 Minuten woanders.

Ich bin ja immer noch für eine Abschaltung des Zwangs-SSL; Und sei es meinetwegen Standard, aber man würde dennoch noch auf normales HTTP zurückgreifen können.
Für mich wird das Forum so langsam unbenutzbar.

Offline

#4 01.05.2010 11:50:20

Usul
Mitglied

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Witzig, gerade bemerke ich die Verzögerungen auch, aber wohl nur, weil ich mal draufschaue. Die Lori-Extension von Firefox hat für das Aufrufen der Forumseite hier 10 Sekunden gemessen, aber die Editorseite hier, in der ich gerade tippe, hat nur die üblichen 0,2 Sekunden gebraucht.

Offline

#5 01.05.2010 12:14:53

Pierre
Entwickler

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Mir kommt langsam der Verdacht, dass es indirekt mit Firefox zusammenhängt. Wer möchte kann temporär mal die Zertifikats-Prüfung im FF abschalten und testen, ob es dann immer noch Probleme gibt: Bearbeiten->Einstellungen->Erweitert->Verschlüsselung->Validierung->OCSP deaktivieren.

Alternativ wäre noch interessant zu wissen, ob Nutzer anderer Browser das gleiche Problem haben.

Beitrag geändert von Pierre (01.05.2010 12:19:30)

Offline

#6 01.05.2010 12:22:11

bernarcher
Mitglied

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Unter Midori habe ich bis jetzt keine solche Verzögerung feststellen können.

Offline

#7 01.05.2010 12:25:22

Creshal
Mitglied

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Dito, hier läufts mit Midori ebenfalls einwandfrei.

Offline

#8 01.05.2010 12:40:25

BurnOver
Mitglied

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

konnte mit konqueror auch keine probleme feststellen

Offline

#9 01.05.2010 13:02:24

efreak4u
Mitglied

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

mit uzbl habe ich auch verzoegerungen - stoeren mich aber nicht o_0

Offline

#10 01.05.2010 13:10:15

karotium
Mitglied

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Pierre schrieb:

Mir kommt langsam der Verdacht, dass es indirekt mit Firefox zusammenhängt.

Ich benutze im Moment hauptsächliche Chrome. Aber unter Firefox ist es genauso. Ich glaube bei Epiphany, Midori und Konqueror habe ich dieses Problem noch nicht beobachtet.

Offline

#11 01.05.2010 13:23:29

stefanhusmann
Moderator

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Unter conkeror keine Probleme, obwohl wie Firefox auf xulrunner basierend.

Offline

#12 01.05.2010 13:52:49

piet
Mitglied

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Mmhh, ich nutze den Firefox und habe solche Problem nicht.
Aber ich habe am Anfang mal Probleme gehabt und mit network.dns.disableIPv6 true IPV6 deaktiviert.

Vielleicht hilft das.

cu

Offline

#13 01.05.2010 14:04:01

karotium
Mitglied

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

piet schrieb:

Mmhh, ich nutze den Firefox und habe solche Problem nicht.
Aber ich habe am Anfang mal Probleme gehabt und mit network.dns.disableIPv6 true IPV6 deaktiviert.

Vielleicht hilft das.

cu

Bei mir ist IPV6 schon deaktiviert. Ich glaube nicht das es daran liegt.

Offline

#14 01.05.2010 14:44:24

Pierre
Entwickler

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Chromium checkt auch OCSP; andere Browser evtl. nicht. Das wäre mein Tipp gewesen. Ansonstnen stehen wir wieder im Dunkeln. Das Haupt-Problem ist, dass es nicht reproduzierbar scheint. Daher sind eigentlich nur noch Informationen sinnvoll, wenn es nicht funktioniert.

PS: Für diejenigen, die das Problem beobachtet haben: wann etwa tart es das erste Mal auf?

Beitrag geändert von Pierre (01.05.2010 14:47:19)

Offline

#15 01.05.2010 14:56:57

PMedia
Mitglied

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Ich nutz auch Chrome. Das erste Mal? Seit der Umstellung auf SSL smile

Offline

#16 01.05.2010 15:01:51

Pierre
Entwickler

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Die Änderungen sollten uns zwar nicht betreffen, aber ich habe mal auf lighttpd 1.4.27 rc1 aktualisiert.

Offline

#17 02.05.2010 04:38:07

LessWire
Mitglied

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Hallo zusammen,

ich bin ja meistens spät nachts bzw. früh morgens aktiv (mit firefox). Wartezeiten von mind. 5 Sek. wären mir dabei sicher aufgefallen, gab es aber nicht.

Gruß, LessWire.

Offline

#18 02.05.2010 08:50:01

orschiro
Mitglied

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Mir sind bisher auch keine Wartezeiten im FF aufgefallen.

Grüße

Offline

#19 05.05.2010 14:50:54

Vain
Mitglied

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Na, für mich sieht das sehr stark danach aus, dass der OCSP-Server von CAcert manchmal einfach überlastet ist. An der Stelle hängt er ja offensichtlich. Wenn man im FF dann noch "When an OCSP server connection fails, treat the certificate as invalid" aktiviert, kriegt man nach der Wartezeit auch das hier:

An error occurred during a connection to forum.archlinux.de.

The OCSP server returned unexpected/invalid HTTP data.

(Error code: sec_error_ocsp_bad_http_response)

Und ein Besuch auf http://ocsp.cacert.org/ verrät:

Too many users

Please try again later

Wenn das Forum aber schnell da ist, dann kriegt man auch eine richtige Antwort von http://ocsp.cacert.org/.

Offline

#20 05.05.2010 21:18:58

Pierre
Entwickler

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Gute Idee diese Funktion in FF einzuschalten. OSCP hatte ich vorher auch schon in Verdacht, konnte es aber nicht wirklich nachweisen. (FF scheint das nicht immer zu prüfen und der oscp-Server ist wohl auch nicht immer down)

Ich werde mal bei cacert nachfragen, was der Spaß soll. Das kann ja nicht sein, dass alle Seiten, die deren certs nutzen down sind, sobald deren oscp nicht mehr funktioniert.

Offline

#21 05.05.2010 23:31:24

Dirk
Moderator

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Pierre schrieb:

Ich werde mal bei cacert nachfragen, was der Spaß soll. Das kann ja nicht sein, dass alle Seiten, die deren certs nutzen down sind, sobald deren oscp nicht mehr funktioniert.

Dann nennst du es aber wieder OCSP, oder?

Offline

#22 05.06.2010 14:41:20

Pierre
Entwickler

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Es wird wohl dran gebastelt, meiner Beobachtung nach kommt es aber immer wieder zu einer langsamen Verbindung oder gar Ausfällen. Eine denkbare Alternative wäre z.B. (zumindest vorübergehend) ein Zertifikat von startssl.com zu verwenden. Das würde uns 49$ pro Jahr (oder für 2?) kosten.

Habt ihr noch andere Ideen oder Vorschläge?

Offline

#23 05.06.2010 15:40:03

Dirk
Moderator

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Pierre schrieb:

Habt ihr noch andere Ideen oder Vorschläge?

CAcert finanziell unterstützen. Besser einer Communitybasiernden CA etwas helfen, anstatt einem Kommerziellen Anbieter Geld schenken für etwas, das CAcert auch kostenlos anbietet.

Zumal ich der Community eher vertraue, als irgendeinem privatwirtschaflichem, gewinnorientiertem Unternehmen.

Offline

#24 20.07.2010 15:25:23

Pierre
Entwickler

Re: IPv6, Wartungs-Arbeiten und Dowtime von archlinux.de

Ich habe das mit ocsp nun etwas beobachtet. Leider gibt es kaum Besserung. Nach meinen Messungen ist der Server oft sehr langsam oder gar nicht erreichbar.

Cacert hier finanziell zu unterstützen ist außerhalb unserer Möglichkeiten. Und vertrauen spielt hier keine Rolle; diese Entscheidung haben Dir die Browser-Hersteller schon zu gunsten der kommerziellen Zertifizierungsstellen abgenommen.

Daher steht die Frage, ob es sinnvoll wäre temporär auf z.B. startssl zu setzen. (einfach aus pragmatischen Gründen). An der Situation bei cacert können wir offenbar nicht drehen.

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums