Signature server back in operation

Retour en fonctionnement du serveur de signature

Le serveur responsable de signer à la demande les certificats émis par CAcert dispose de deux disques durs, en redondance l’un de l’autre. Lorsqu’un dysfonctionnement se produit, aucune maintenance à distance n’est possible, car la machine n’est intentionnellement pas branchée au réseau. Seul un câble série permet d’échanger requêtes et réponses avec le reste de notre infrastructure. Aucune connexion n’est possible par ce moyen.

Or, depuis le 2 Août, nous observions la mise en attente de toutes les demandes de signature de certificats. L’équipe des infrastructures critiques est donc intervenue sur site ce 21 Août. Un problème dans le traitement d’un des certificats était la cause du blocage. Ce problème est résolu, mais reste à diagnostiquer avec précision. Il s’agit d’une série d’incidents que nous n’avions jamais vus auparavant.

Compte tenu des deux autres incidents intervenus plus tôt cette année, liés au système de fichiers de notre serveur de signature, nous devions accroitre sa résilience. Aussi, ce 21 août, l’équipe des infrastructures critiques a installé dans le rack un second serveur de signature, comme secours passif du premier. La présence de liens série dédiés vers chaque machine permettra à l’avenir de basculer très rapidement sur le second serveur de signature, en cas de nouveau problème. Dans tous les cas, les deux serveurs restent comme auparavant isolés du réseau.

Nous prions nos membres de nous excuser pour ces dysfonctionnements, et encourageons ceux résidant en Hollande où dans sa proche périphérie, à envisager de s’associer au travail de notre équipe des infrastructures critiques, ce qui augmenterait notre capacité d’intervention rapide.

Simultanément, nous espérons que l’intervention d’hier marque la fin de cette longue et exceptionnelle série.

English version

The server responsible for signing certificates issued by CAcert on demand has two hard disks, redundant to each other. When a malfunction occurs, no remote maintenance is possible, as the machine is intentionally not connected to the network. Only a serial cable is used to exchange requests and responses with the rest of our infrastructure. No connection is possible by this means.

However, since the 2nd of August, we have been seeing all certificate signing requests being put on hold. The Critical Infrastructure team therefore intervened on site on the 21st of August. A problem in the processing of one of the certificates was the cause of the blockage. This problem has been solved, but remains to be precisely diagnosed. This is a series of failures that we have never seen before.

In light of the two other incidents earlier this year related to the file system of our signature server, we needed to increase its resilience. So on 21 August, the Critical Infrastructure team installed a second signature server in the rack as a passive backup to the first. The presence of dedicated serial links to each machine will make it possible in future to switch very quickly to the second signature server in the event of a new problem. In any case, the two servers remain isolated from the network as before.

We apologise to our members for the inconvenience, and encourage those living in or near the Netherlands to consider working with our Critical Infrastructure team, which would increase our ability to respond quickly.

At the same time, we hope that yesterday’s intervention marks the end of this long and exceptional series.

Backlog in the delivery of certificates

4 Replies

Unfortunately, there has been a backlog in the delivery of renewed and new certificates in Signer. The Critical Team cannot solve this remotely. A visit to the data centre is planned for next Monday. The stuck certificates should then be delivered. We are sorry that there has been a disruption again.

Im Signer ist es leider zu einem Stau der Auslieferung erneuerter und neuer Zertifikate gekommen. Das Critical Team kann dies nicht per Fernwartung lösen. Ein Besuch des Rechenzentrums ist am kommenden Montag geplant. Die feststeckenden Zertifikate sollten anschliessend ausgeliefert werden. Es tut uns Leid, dass es erneut zu einer Störung gekommen ist.

Expanded support

Leave a reply

Heat, floods, hurricanes and other unplannable events quickly lead to delays. We are proud that, despite everything, the handover of the keys to support went smoothly yesterday and the new volunteers now have access to the relevant systems to assist the existing team.

On the allegorical picture you can see Joost handing over the access rights to Aleš, Matthias and David. Also present: Critical Admin, President and Secretary.

Deutsch: Support verstärkt

Hitze, Hochwasser, Hurrikane und andere unplanbare Ereignisse führen schnell zu Verzögerungen. Wir sind stolz darauf, dass trotz allem die Schlüsselübergabe beim Support gestern geklappt hat und die neuen freiwilligen Mitarbeiter ab sofort Zugang zu den relevanten Systemen haben, um das bestehende Team zu unterstützen.

Auf dem allegorischen Bild seht ihr Joost, der Aleš, Matthias und David die Zugriffsrechte überreicht. Mit von der Partie: Critical Admin, Präsident und Sekretär.

New signer proves itself in use

1 Reply

EN: Signer is running again

DE: Signer ist wieder in Betrieb

FR: Signataire fonctionne à nouveau

ES: Firmante vuelve a funcionar

IT: Firmatario è di nuovo in funzione

The signer has been running again since yesterday, Friday, around 13:00 CEST. We then (while we were doing other work) watched the processing for about another hour… Around 0:30 CEST all outstanding certificate requests (~3000) were processed.

Things didn’t quite go as planned in June. As soon as something cannot be done remotely – there is no remote access to critical systems for security reasons – someone who is authorised to do so has to go the data centre in the Netherlands. Despite Corona, quarantine, floods, overtime at the company and whatever else comes up. That’s maybe two hours. Then two hours home again and in between the actual work. During the opening hours of the data centre, in your free time and paying for your own train ticket or petrol. It’s not always easy to reconcile all that. On Friday afternoon, however, the time had come and the Signer has now been running smoothly again for over a day.

As can be seen from the Critical Team’s plan published yesterday, preliminary work is already underway to make the system redundant throughout and even more robust, so that failures should no longer be noticed by users, because no one is interested in such failures! We are very sorry that you had to wait so long. At the same time, we thank the small core team who have sacrificed nights and weekends over the last five weeks to get the technology back up and running for the CAcert community!

Datacenter-Visit on 2021-07-16 UPDATE

Leave a reply

The activation of signer machine was successful, all pending certificates were processed in the last hours.

Short version: There is a visit at the datacenter planned to enable the signer again (and do some other maintenance there).

Long version:

Unfortunately it was not possible to get the signer back to work again during the last visit due to a hardware-issue with the harddrive.

To get the server running on the (pre-)created backup drive did fail, too …

Therefore we took the time during the last weeks (when it was not possible to visit the datacenter due to different business and personal reasons) to rebuild a test-environment on spare hardware and to train ourselves.

We should now be able to do the necessary steps to bring back the signer machine to work.

In the background we’re currently adjusting our processes to make it easier to visit the datacenter during out-of-office-times (as every trip to the datacenter takes several hours additionally to the time we’re working at the servers).

In future we plan to set up an additional confuguration, which can take over in case of a failure in the datacenter, but this will still take time. However: The exact procedure needs to be worked out as the machines are not to be connected to the internet, but need to communicate (e.g. for CRL-creation, certificate serial numbers etc.).

Protect yourself and your computer!

Leave a reply

Français | Deutsch | English

Protégez-vous et protégez votre ordinateur!

Un certificat de CAcert protège contre les dangers sur Internet. En choisissant CAcert, vous avez fait un bon choix, car ici, vous n’espérez pas simplement que le prestataire le fera déjà bien, mais en tant que membre de la communauté CAcert, vous avez toutes les possibilités: Vérifiez notre travail – ou mieux encore: coopérez vous-même, car à qui pouvez-vous faire confiance plus qu’à vous-même et à vos plus proches collaborateurs!

Malheureusement, il existe des dangers contre lesquels vous ne pouvez pas vous protéger avec nos certificats. Les inondations, par exemple, ou les virus corona. Au rez-de-chaussée du siège de CAcert Inc. à Genève, en face de la gare des Eaux Vives, se trouve un grand centre de tests et de vaccination. Ici, vous pouvez obtenir immédiatement une protection X.509 et Covid-19.

Pour que les assurances redeviennent plus faciles et que nous puissions nous rencontrer à nouveau en personne lors d’une conférence prochainement: Protégez-vous avec un masque, gardez distance et respectez l’hygiène. Et: Faites-vous vacciner! Les deux, CAcert et Covid-19 nécessitent deux rendez-vous.*

*avec des assureurs expérimentés avec au moins 25 points, sinon cela peut être plus. La protection Covid se déploie 10 jours après la deuxième vaccination.

Schützen Sie sich und Ihren Computer!

Ein Zertifikat von CAcert schützt vor Gefahren im Internet. Mit der Wahl von CAcert haben Sie eine gute Wahl getroffen, denn hier hoffen Sie nicht einfach, dass der Anbieter es hoffentlich schon gut macht, sondern Sie haben als Mitglied der CAcert-Gemeinschaft alle Möglichkeiten: Überprüfen Sie unsere Arbeit – oder noch besser: arbeiten Sie selber mit, denn wem kann man mehr vertrauen, als sich selbst und seinen engsten Mitarbeitern!

Leider gibt es Gefahren, gegen die man sich mit unseren Zertifikaten nicht schützen kann. Überschwemmungen zum Beispiel oder Coronaviren. Im Erdgeschoss des Hauptsitzes des Trägervereins CAcert Inc. in Genf befindet sich ein grosses Test- und Impfzentrum. Hier bekommen Sie gleich beides X.509 und Covid-19-Schutz.

Damit Assurances wieder einfacher werden und wir uns demnächst wieder an einer Konferenz persönlich treffen können: Schützen Sie sich mit Maske, Abstand und Hygiene. Und: Lassen Sie sich impfen! Sowohl bei CAcert als auch bei Covid-19 braucht es zwei Termine.*

*mit erfahrenen Assurern mit mindestens 25 Punkten, sonst können es mehr sein. Covid-Schutz entfaltet sich 10 Tage nach der zweiten Impfung.

Protect yourself and your computer!

A certificate from CAcert protects you from dangers on the Internet. By choosing CAcert you have made a good choice, because here you are not simply hoping that the provider will already do it well, but as a member of the CAcert community you have all the options: Check our work – or even better: work with us yourself, because who can you trust more than yourself and your closest colleagues!

Unfortunately, there are dangers against which you cannot protect yourself with our certificates. Floods, for example, or corona viruses. On the ground floor of the headquarters of CAcert Inc. in Geneva there is a large testing and vaccination centre. Here you can get both X.509 and Covid-19 protection at once.

So that assurances become easier again and we can meet again in person at a conference soon: Protect yourself with mask, distance and hygiene. And: get vaccinated! Both CAcert and Covid-19 require two appointments.*

*with experienced assurers with at least 25 points, otherwise it may be more. Covid protection unfolds 10 days after the second vaccination.

CAcert Inc with new treasurer

Leave a reply

Committee of CAcert Inc association is complete again. Picture shows the good old time in New South Wales.

English | Deutsch | Français | Español

There are some good news: The committee of CAcert Inc, the association behind our community, is again complete (picture: before the relocation to Europe). We welcome Michael R from Canada as the new treasurer. He takes over from Frédéric G from France who ran the treasury during a difficult period when Paypal cut us off from our money for months. We thank Frédéric G for his work in the past and look forward to working with Michael.

Newly, several people are taking care of the finances with the finance team. Besides the treasurer, the finance team includes Waclaw from Poland and Frédéric D. On the one hand, the finance team will replace our outdated accounting software. It also wants to unify the structures that have grown over the years. Thirdly, it will support the Board with subsidy applications.

Deutsch Der Trägerverein CAcert Inc hat einen neuen Kassier. Dieser wird in seinen Aufgaben durch das Finanzteam unterstützt. Erste Aufgaben werden sein, unsere veraltete Buchhaltungssoftware zu ersetzen. Ausserdem sollen die über die Jahren gewachsenen Strukturen verschlankt und der Vorstand bei Subventionsgesuchen unterstützt werden.

Français L’association CAcert Inc a un nouveau trésorier. Il sera soutenu dans ses tâches par l’équipe des finances. Les premières tâches consisteront à remplacer notre logiciel de comptabilité obsolète. En outre, les structures qui se sont développées au fil des ans seront rationalisées et le comité sera soutenu dans ses demandes de subventions.

Español La asociación patrocinadora CAcert Inc. tiene un nuevo tesorero. Estará apoyado en sus tareas por el equipo de finanzas. La primera tarea será sustituir nuestro anticuado programa de contabilidad. Además, se racionalizarán las estructuras que han crecido a lo largo de los años y se apoyará al consejo en las solicitudes de subvención.

Work on new signer in full swing

6 Replies

We recently reported here about a signer malfunction in our data centre in the Netherlands. Usually, our systems are redundant for such cases. This spring, the second disk was removed for repair due to an other malfunction that could not be resolved remotely. A small team of our volunteer engineers is working flat out to rebuild the server locally in Germany.

Then it can be brought to the data centre on the following Friday. If everything goes according to plan by Wednesday, the server in the Netherlands can go online on Friday.

CAcert is run exclusively by volunteers in their spare time. If you would like to help out in one way or another, we recommend subscribing to the relevant mailing lists to get in touch with the current topics and the active players.

Arbeit an neuem Signer läuft auf Hochtouren

Wir haben vor kurzem hier über eine Störung des Signers in unserem Datenzentrum in den Niederlanden berichtet. Üblicherweise sind für solche Fälle unsere Systeme redundant ausgerichtet. In diesem Frühjahr wurde die zweite Platte wegen einer anderen Störung, die sich nur per Fernwartung lösen konnte zur Reparatur entfernt.

Ein kleines Team unserer freiwilligen Ingenieure arbeitet mit Hochdruck daran, den Server lokal in Deutschland nachzubauen. Daraufhin kann er am darauffolgenden Freitag ins Rechenzentrum gebracht werden. Sollte alles bis Mittwoch nach Plan laufen, kann der Server in den Niederlanden am Freitag ins Netz gehen.

CAcert wird ausschliesslich von Freiwilligen in Ihrer Freizeit betrieben. Wenn Sie auf die eine oder andere Art mithelfen möchten, empfehlen wir, die entsprechenden Mailinglisten zu abonnieren, um so mit den aktuellen Themenkreisen und den aktiven Akteuren in Kontakt zu kommen.

CAcert begrüsst John Biden und Vladimir Putin in Genf

Leave a reply

Deutsch / English

Natürlich ist CAcert in erster Linie eine virtuelle Organisation. Aber der Trägerverein hat seinen Sitz an einer reellen Adresse.

Attention: Le Gouvernement de la République et Canton de Genève vous recommande vivement un confinement volontaire le mercredi 16 juin 2021 (et par conséquent de visiter CAcert virtuellement uniquement). Please note: The Government of the Republic and Canton of Geneva strongly recommend a voluntary quarantine (and consequently visit CAcert virtually only) on Wednesday 16 June 2021.

Bekanntlich ist CAcert als internationale Organisation für Sicherheit im Internet Ende letzten Jahres aus Neusüdwales nach Genf in der Schweiz umgezogen. Genf ist die internationale Stadt mit Sitz von Dutzenden internationaler Organisationen. Wenn wir am Sitz von CAcert Inc in Genf auf das Dach steigen, zeigen sich großartige Bilder: moderne Trams halten direkt vor dem neuen, von Jean Nouvel erbauten Bahnhof Genf Eaux-Vives an der internationalen Linie des Léman-Express von Savoyen in die Schweiz. Drehen wir den Kopf etwas mehr gegen Norden , liegt zwischen dem weltbekannten Springbrunnen im Genfersee und dem Betrachter der Park La Grange mit der Villa, in welcher sich in den kommenden Tagen die Präsidenten der Vereinigten Staaten und der Russischen Föderation treffen, zwar nicht um über Internetsicherheit zu debattieren, aber um die Sicherheit in der Welt. Nein, da wir uns für den Schutz der Privatsphäre einsetzen, hat es keine Web-Kamera auf dem Dach, um diese Herren zu beobachten.

CAcert welcomes John Biden and Vladimir Putin in Geneva

Of course, CAcert is first and foremost a virtual organisation. But the supporting association has its headquarters at a real address. As is well known, CAcert as an international organisation for security on the internet moved from New South Wales to Geneva in Switzerland at the end of last year. Geneva is the international city with the headquarters of dozens of international organisations. When we climb onto the roof at the headquarters of CAcert Inc in Geneva, great images appear: modern trams stop right in front of the new Geneva Eaux-Vives station built by Jean Nouvel on the international line of the Léman Express from Savoie to Switzerland. If we turn our head a little more towards the east, between the world-famous fountain in Lake Geneva and the viewer lies the park with the Villa La Grange, where the presidents of the United States and the Russian Federation will meet in the coming days, not to debate cyber security, but security in the world. No, because we are committed to privacy, it does not have a web camera on the roof to watch these gentlemen.

CAcert accoglie John Biden e Vladimir Putin a Ginevra

Leave a reply

Italiano / español

Naturalmente, CAcert è prima di tutto un’organizzazione virtuale. Ma l’associazione di sostegno ha la sua sede in un indirizzo reale.

Attention: Le Gouvernement de la République et Canton de Genève vous recommande vivement un confinement volontaire le mercredi 16 juin 2021 (et par conséquent de visiter CAcert virtuellement uniquement). Please note: The Government of the Republic and Canton of Geneva strongly recommend a voluntary quarantine (and consequently visit CAcert virtually only) on Wednesday 16 June 2021.

Come è noto, CAcert, come organizzazione internazionale per la sicurezza su Internet, si è trasferita dal Nuovo Galles del Sud a Ginevra, Svizzera, alla fine dello scorso anno. Ginevra è la città internazionale con sede di decine di organizzazioni internazionali. Quando saliamo sul tetto della sede di CAcert Inc a Ginevra, appaiono grandi immagini: moderni tram si fermano proprio davanti alla nuova stazione di Ginevra Eaux-Vives, costruita da Jean Nouvel, sulla linea internazionale del Léman Express dalla Savoia alla Svizzera. Se giriamo la testa un po’ più al nord, tra la fontana di fama mondiale del lago di Ginevra e lo spettatore si trova il parco con la Villa La Grange, dove i presidenti degli Stati Uniti e della Federazione Russa si incontreranno nei prossimi giorni, non per discutere della sicurezza di Internet, ma della sicurezza nel mondo. No, poiché siamo impegnati nella privacy, non ha una web camera sul tetto per guardare questi signori.

CAcert recibe a John Biden y Vladimir Putin en Ginebra

Por supuesto, CAcert es ante todo una organización virtual. Pero la asociación de apoyo tiene su sede en una dirección real. Como es sabido, CAcert, como organización internacional para la seguridad en Internet, se trasladó de Nueva Gales del Sur a Ginebra (Suiza) a finales del año pasado. Ginebra es una ciudad internacional con sedes de decenas de organizaciones internacionales. Cuando subimos al tejado de la sede de CAcert Inc en Ginebra, aparecen grandes imágenes: los modernos tranvías se detienen justo delante de la nueva estación de Ginebra Eaux-Vives, construida por Jean Nouvel, en la línea internacional del Léman Express de Saboya a Suiza. Si giramos la cabeza un poco más hacia el norte, entre la mundialmente famosa fuente del lago de Ginebra y el espectador se encuentra el parque con la Villa La Grange, donde los presidentes de Estados Unidos y la Federación Rusa se reunirán en los próximos días, no para debatir sobre la seguridad en Internet, sino sobre la seguridad en el mundo. No, como estamos comprometidos con la privacidad, no tiene una cámara web en el techo para vigilar a estos señores.