Debian 10 Update schlägt fehl; Certificate verification failed

[Lord_Icon]

Debian 10.... schon recht lange nicht mehr am Netz gehabt. (mind. 3/4 - 1 Jahr; Offline-Client)
Letztes WE mal den Versuch gestartet den mal auf n aktuellen Stand zu bringen.

Leider wird es immer wg. ungültigen Zertifikat abgewiesen.

Hab die Tage schon einiges Versucht. Mitunter https auf http geändert.
Hat schon mal die Fehlermeldungen erheblich reduziert. Aber Updaten kann ich immer noch nicht.

update-ca- Zertifikate und all diese Spielchen alles schon versucht. Entweder gibt es ne weitere Fehlermeldung oder es läuft erfolgreich durch... aber ändert nichts an der nachfolgenden Fehlermeldung.

Weiß einer Rat ?

root@server:/etc/apache2# apt-get update
Holen:1 http://security.debian.org/debian-security buster/updates InRelease [65,4 kB]
Holen:2 http://deb.debian.org/debian buster InRelease [122 kB]
Holen:3 http://deb.debian.org/debian buster-updates InRelease [51,9 kB]
Ign:4 https://packages.sury.org/php buster InRelease
Fehl:5 https://packages.sury.org/php buster Release
  Certificate verification failed: The certificate is NOT trusted. The certificate chain uses expired certificate.  Could not handshake: Error in the certificate verification. [IP: 138.199.37.226 443]
Paketlisten werden gelesen... Fertig
E: Das Depot »https://packages.sury.org/php buster Release« enthält keine Release-Datei mehr.
N: Eine Aktualisierung von solch einem Depot kann nicht auf eine sichere Art durchgeführt werden, daher ist es standardmäßig deaktiviert.
N: Weitere Details zur Erzeugung von Paketdepots sowie zu deren Benutzerkonfiguration finden Sie in der Handbuchseite apt-secure(8).
E: Für das Depot »http://security.debian.org/debian-security buster/updates InRelease« wurde der »Suite«-Wert von »stable« in »oldstable« geändert.
N: Sie müssen dies explizit bestätigen, bevor Aktualisierungen von diesem Depot angewendet werden können. Lesen Sie die apt-secure(8)-Handbuchseite, wenn Sie weitere Informationen benötigen.
N: Für das Depot »http://deb.debian.org/debian buster InRelease« wurde der »Version«-Wert von »10.4« in »10.12« geändert.
E: Für das Depot »http://deb.debian.org/debian buster InRelease« wurde der »Suite«-Wert von »stable« in »oldstable« geändert.
N: Sie müssen dies explizit bestätigen, bevor Aktualisierungen von diesem Depot angewendet werden können. Lesen Sie die apt-secure(8)-Handbuchseite, wenn Sie weitere Informationen benötigen.
E: Für das Depot »http://deb.debian.org/debian buster-updates InRelease« wurde der »Suite«-Wert von »stable-updates« in »oldstable-updates« geändert.
N: Sie müssen dies explizit bestätigen, bevor Aktualisierungen von diesem Depot angewendet werden können. Lesen Sie die apt-secure(8)-Handbuchseite, wenn Sie weitere Informationen benötigen.
W: Ziel Sources (main/source/Sources) ist mehrfach konfiguriert in /etc/apt/sources.list:8 und /etc/apt/sources.list:19
W: Ziel Packages (main/binary-amd64/Packages) ist mehrfach konfiguriert in /etc/apt/sources.list:7 und /etc/apt/sources.list:18
W: Ziel Packages (main/binary-all/Packages) ist mehrfach konfiguriert in /etc/apt/sources.list:7 und /etc/apt/sources.list:18
W: Ziel Translations (main/i18n/Translation-de_DE) ist mehrfach konfiguriert in /etc/apt/sources.list:7 und /etc/apt/sources.list:18
W: Ziel Translations (main/i18n/Translation-de) ist mehrfach konfiguriert in /etc/apt/sources.list:7 und /etc/apt/sources.list:18
W: Ziel Translations (main/i18n/Translation-en) ist mehrfach konfiguriert in /etc/apt/sources.list:7 und /etc/apt/sources.list:18
W: Ziel Sources (main/source/Sources) ist mehrfach konfiguriert in /etc/apt/sources.list:11 und /etc/apt/sources.list:22
W: Ziel Sources (contrib/source/Sources) ist mehrfach konfiguriert in /etc/apt/sources.list:11 und /etc/apt/sources.list:22
W: Ziel Packages (main/binary-amd64/Packages) ist mehrfach konfiguriert in /etc/apt/sources.list:10 und /etc/apt/sources.list:21
W: Ziel Packages (main/binary-all/Packages) ist mehrfach konfiguriert in /etc/apt/sources.list:10 und /etc/apt/sources.list:21
W: Ziel Translations (main/i18n/Translation-de_DE) ist mehrfach konfiguriert in /etc/apt/sources.list:10 und /etc/apt/sources.list:21
W: Ziel Translations (main/i18n/Translation-de) ist mehrfach konfiguriert in /etc/apt/sources.list:10 und /etc/apt/sources.list:21
W: Ziel Translations (main/i18n/Translation-en) ist mehrfach konfiguriert in /etc/apt/sources.list:10 und /etc/apt/sources.list:21
W: Ziel Packages (contrib/binary-amd64/Packages) ist mehrfach konfiguriert in /etc/apt/sources.list:10 und /etc/apt/sources.list:21
W: Ziel Packages (contrib/binary-all/Packages) ist mehrfach konfiguriert in /etc/apt/sources.list:10 und /etc/apt/sources.list:21
W: Ziel Translations (contrib/i18n/Translation-de_DE) ist mehrfach konfiguriert in /etc/apt/sources.list:10 und /etc/apt/sources.list:21
W: Ziel Translations (contrib/i18n/Translation-de) ist mehrfach konfiguriert in /etc/apt/sources.list:10 und /etc/apt/sources.list:21
W: Ziel Translations (contrib/i18n/Translation-en) ist mehrfach konfiguriert in /etc/apt/sources.list:10 und /etc/apt/sources.list:21

nano /etc/apt/sources.list

deb http://deb.debian.org/debian/ buster main
deb-src http://deb.debian.org/debian/ buster main

deb http://security.debian.org/debian-security buster/updates main contrib
deb-src http://security.debian.org/debian-security buster/updates main contrib

# buster-updates, previously known as 'volatile'
deb http://deb.debian.org/debian/ buster-updates main contrib
deb-src http://deb.debian.org/debian/ buster-updates main contrib


deb http://deb.debian.org/debian/ buster main contrib non-free
deb-src http://deb.debian.org/debian/ buster main contrib non-free

deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

 

[Demmerle IT]

Hey,

schau dir mal, besonders die letzten, Fehlermeldungen genauer an.
Da steht eig auch schon die Lösung "ist mehrfach konfiguriert". Da würde ich erst mal aufräumen und dann schauen was noch übrig bleibt

Grüße
Jonathan

 

[danton]

Wie @Demmerle IT schon geschrieben hat, als erstes die /etc/apt/sources.list aufräumen, indem du die redundanten Einträge raus löscht. Dann das Repository für deb.sury.org erst mal deaktivieren (auskommentieren). Damit sollte der Rest sich aktualisieren lassen und entsprechend auch das Paket mit den CA-Zertfikaten. Anschließend das Repository für PHP wieder aktivieren. deb.sury.org dürfte in /etc/apt/sources.list.d/php.list konfiguriert sein, wenn es nach Anleitung eingerichtet wurde.

 

[DjTom-i]

sources.list anpassen:

deb http://deb.debian.org/debian/ buster main contrib
deb-src http://deb.debian.org/debian/ buster main contrib

deb http://security.debian.org/debian-security buster/updates main contrib
deb-src http://security.debian.org/debian-security buster/updates main contrib

# buster-updates, previously known as 'volatile'
deb http://deb.debian.org/debian/ buster-updates main contrib
deb-src http://deb.debian.org/debian/ buster-updates main contrib

apt update <-- wichtig
apt-get update
apt-get upgrade

 

[danton]

apt update <-- wichtig
apt-get update

Die beiden Befehle macht das gleiche, es reicht aus, einen davon zu verwenden. Für die interaktive Nutzung verwende ich apt, in Scripts sollte apt-get verwendet werden. Siehe u.a. hier: https://wiki.ubuntuusers.de/apt/apt/#Vergleiche-apt-get-apt
Außerdem würde ich bei den offiziellen Debian-Repositories einheitlich arbeiten, was contrib und non-free betrifft. Daher entweder so:

deb http://deb.debian.org/debian/ buster main contrib non-free
deb-src http://deb.debian.org/debian/ buster main contrib non-free

deb http://security.debian.org/debian-security buster/updates main contrib
deb-src http://security.debian.org/debian-security buster/updates main contrib

deb http://deb.debian.org/debian/ buster-updates main contrib
deb-src http://deb.debian.org/debian/ buster-updates main contrib

oder alternativ halt so

deb http://deb.debian.org/debian/ buster main
deb-src http://deb.debian.org/debian/ buster main

deb http://security.debian.org/debian-security buster/updates main
deb-src http://security.debian.org/debian-security buster/updates main

deb http://deb.debian.org/debian/ buster-updates main
deb-src http://deb.debian.org/debian/ buster-updates main

Das non-free wird z.B. für Hardware benötigt, bei der der Kernel Firmware-Dateien nachladen muss.

 

[DjTom-i]

Das sury depot ist Hupe. Das einfach rausnehmen.

Das Versions Update und der Wechsel der Suite ist hier interessant und in manchen Konstellationen kommt bei einem apt-get update kein y/n prompt um das Upgrade zu bestätigen.

Und nein ein "apt update" und ein "apt-get update" sind nicht 100%ig das Gleiche.

Siehe:

Debian: repository changed its ‘Suite’ value from ‘testing’ to ‘stable’ – Eriberto Blog

Und hier:

Difference between apt vs. apt-get

In this article, we will explain the difference between apt and the apt-get commands in Linux. We will also discuss a few of the most often used apt commands that replaced the apt-get command.

linuxhint.com

Und weils dazu passt noch ein Link den ich sehr gut finde:

How to perform suite change

I have recently updated Debian Buster from testing to stable, so it is worth to note how to perform such update non-interactively.

sleeplessbeastie.eu

 

[danton]

EInfach zu empfehlen, auf das Sury-Repo zu verzichten, halten ich für etwas kurz gedacht - das hat sich ja nicht von alleine dahin installiert. Es hingegen temporär zu deaktivieren, ist sinnvoll. Dann Debian auf den aktuellen Stand bringen (evtl. sogar direkt auf bullseye, da buster in Kürze in den LTS-Branch wechselt) und danach sollte auch das Sury-Repo wieder funktionieren - ohne werden die PHP-Versionen mit Aufnahme von 7.3 nicht mehr mit Updates versorgt.
Und ja, das apt update und apt-get update in gewissen Situationen unterschiedlich arbeiten, ist mir bewusst. apt ist für die interaktivie Nutzung ausgelegt, während apt-get (und apt-cache) für die Nutzung in Scripten empfohlen wird (laut Manpage von apt). Aus diesem Grund würde ich nach Anpassung folgende Befehle verwenden:

apt update
apt full-upgrade

Letzterer sorgt dann auch dafür, dass ggfl. neue Abhängigkeiten mit aufgelöst werden, ansonsten werden einige Paket-Updates zurückgehalten.