SSL storing news.xs4all.nl/news.kpn.nl?

[Patrick Vervoorn]

L.S.,

Als ik via ssh contact wil leggen met news.kpn.nl krijg ik de volgende
foutmelding:

$ ssh -4 news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Connection reset by 94.232.116.171 port 563

$ ssh news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer
Connection reset by 2001:67c:174:101:0:65:ff02:171 port 563

Een telnet naar news.xs4all.nl doet het nog wel:

$ telnet news.xs4all.nl nntp
Trying 2001:67c:174:101:0:65:ff02:172...
Connected to news.xs4all.nl.
Escape character is '^]'.
200 Welcome to KPN
quit
205 Bye. 20 bytes written, 0 accounted.
Connection closed by foreign host.

Storing?

Groeten, Patrick.

[Maurice]

Patrick Vervoorn <patrick....@nospam.perihelion.demon.nl> wrote:
>
>L.S.,
>
>Als ik via ssh contact wil leggen met news.kpn.nl krijg ik de volgende
>foutmelding:
>
>$ ssh -4 news.kpn.nl -p 563
>kex_exchange_identification: read: Connection reset by peer
>Connection reset by 94.232.116.171 port 563
>
>$ ssh news.kpn.nl -p 563
>kex_exchange_identification: read: Connection reset by peer
>Connection reset by 2001:67c:174:101:0:65:ff02:171 port 563
>

<snip>
>
>Storing?

Voor zover ik weet is een ssh handshake niet compatibel met een SSL
handshake, dus die foutmelding verbaast me niet.
Met -p 443 naar een willekeurige website geeft namelijk dezelfde fout.

--
Maurice

[Patrick Vervoorn]

In article <tmlkb5$15iu$1...@gioia.aioe.org>,

Hmmm, ok.

Ik heb ondertussen contact gehad met XS4ALL en die geven aan dat het nog
gewoon werkt.

Het probleem zit 'm dus blijkbaar in mijn eigen Linux doosje.

Maar hoe kan ik dan wel eenvoudig testen of ik succesvol kan verbinden
met news.kpn.nl op poort 563?

Groeten, Patrick.

[Roger]

openssl s_client -connect news.kpn.nl:563

Groeten,
-Roger

[Patrick Vervoorn]

In article <tmmik3$5st5$2...@dont-email.me>,

Interessant, dit werkt!

Het lijkt dus aan stunnel te liggen; de tunnel daardoorheen werkt niet
meer. Weird.

Daar moet ik dus nog eens dieper in duiken.

Ter info: dit is op een Devuan Chimaera systeempje.

Ciao, Patrick.

[Gertjan Klein]

Op 06-12-2022 om 11:44 schreef Patrick Vervoorn:

Het werkt, maar er zijn certificaatfouten:

Verify return code: 10 (certificate has expired)

Misschien vindt stunnel dat niet leuk?

Groeten,
Gertjan.

[robert]

Patrick Vervoorn <patrick....@NOSPAM.perihelion.demon.nl>:

> Ik heb ondertussen contact gehad met XS4ALL en die geven aan dat het nog
> gewoon werkt.

Bij mij werkt het toch ook niet:

$ ssh news.kpn.nl -p 563
kex_exchange_identification: read: Connection reset by peer

--
robert

[Oscar]

In article <tmnbnb$6suk$1...@dont-email.me>,

Gertjan Klein <gkl...@parvos.nl> wrote:
>Op 06-12-2022 om 11:44 schreef Patrick Vervoorn:
>> In article <tmmik3$5st5$2...@dont-email.me>,
>> Roger <nosuc...@example.com> wrote: >>
>>>openssl s_client -connect news.kpn.nl:563
>>
>> Interessant, dit werkt!
>>
>> Het lijkt dus aan stunnel te liggen; de tunnel daardoorheen werkt niet
>> meer. Weird.
>
>Het werkt, maar er zijn certificaatfouten:
>
>Verify return code: 10 (certificate has expired)

Nogal ja. Die hele chain is in middels goed voor het grof vuil:

oscar@localhost:$ < /dev/null openssl s_client -verify 3 -connect news.kpn.nl:563
verify depth is 3
CONNECTED(00000005)
depth=3 C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden EV Root CA
verify return:1
depth=2 C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden Domein Server CA 2020
verify error:num=10:certificate has expired
notAfter=Dec 6 00:00:00 2022 GMT
verify return:1
depth=2 C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden Domein Server CA 2020
notAfter=Dec 6 00:00:00 2022 GMT
verify return:1
depth=1 C = NL, O = KPN B.V., CN = KPN PKIoverheid Server CA 2020
verify error:num=10:certificate has expired
notAfter=Dec 5 00:00:00 2022 GMT
verify return:1
depth=1 C = NL, O = KPN B.V., CN = KPN PKIoverheid Server CA 2020
notAfter=Dec 5 00:00:00 2022 GMT
verify return:1
depth=0 C = NL, L = Rotterdam, O = Koninklijke KPN N.V., serialNumber = 00000003020452000000, CN = kpn.nl
verify error:num=10:certificate has expired
notAfter=Dec 4 13:30:37 2022 GMT
verify return:1
depth=0 C = NL, L = Rotterdam, O = Koninklijke KPN N.V., serialNumber = 00000003020452000000, CN = kpn.nl
notAfter=Dec 4 13:30:37 2022 GMT
verify return:1
---
Certificate chain
0 s:C = NL, L = Rotterdam, O = Koninklijke KPN N.V., serialNumber = 00000003020452000000, CN = kpn.nl
i:C = NL, O = KPN B.V., CN = KPN PKIoverheid Server CA 2020
1 s:C = NL, O = KPN B.V., CN = KPN PKIoverheid Server CA 2020
i:C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden Domein Server CA 2020
2 s:C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden Domein Server CA 2020
i:C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden EV Root CA
3 s:C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden EV Root CA
i:C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden EV Root CA
---


Zou er nog iemand werken die weet waar je die certificaten in moet hangen?
--
[J|O|R] <- .signature.gz

[Roger]

On 2022/12/06 14:39, Oscar wrote:
> In article <tmnbnb$6suk$1...@dont-email.me>,
> Gertjan Klein <gkl...@parvos.nl> wrote:
>> Op 06-12-2022 om 11:44 schreef Patrick Vervoorn:
>>> In article <tmmik3$5st5$2...@dont-email.me>,
>>> Roger <nosuc...@example.com> wrote: >>
>>>> openssl s_client -connect news.kpn.nl:563
>>>
>>> Interessant, dit werkt!
>>>
>>> Het lijkt dus aan stunnel te liggen; de tunnel daardoorheen werkt niet
>>> meer. Weird.
>>
>> Het werkt, maar er zijn certificaatfouten:
>>
>> Verify return code: 10 (certificate has expired)
>
> Nogal ja. Die hele chain is in middels goed voor het grof vuil:
>
> oscar@localhost:$ < /dev/null openssl s_client -verify 3 -connect news.kpn.nl:563
> verify depth is 3
> CONNECTED(00000005)
> depth=3 C = NL, O = Staat der Nederlanden, CN = Staat der Nederlanden EV Root CA
> verify return:1

Deze werkt nog: tot overmorgen...

Het vernieuwen van het certificaat is vast ergens gescript. En dan vergeet je wel eens
dat ook een CA niet het eeuwige leven heeft. Een typische certificaatbeheer fuckup.

Groeten,
-Roger

[Roger]

Vast niet. Je zou als workaround 'verify = 0' bij de betreffende service
in stunnel.conf kunnen zetten totdat ze bij KPN de rommel hebben opgeruimd.

Groeten,
-Roger

[Roger]

Het is hier al genoemd: SSH != SSL/TLS.

Groeten,
-Roger

[robert]

Roger <nosuc...@example.com>:

Uiteraard, maar Patrick denkt nu door een vreemde uitspraak van XS4ALL dat
het een lokaal probleem zou zijn.

--
robert

[Patrick Vervoorn]

In article <tmnist$7u5m$3...@dont-email.me>,

Het zou dus kunnen dat stunnel iets stricter is dan openssh? En het dus
toch NIET een lokaal probleem is?

Ik heb verify = 0 toegevoegd aan de .conf file, maar dat lost het helaas
niet op.
Kan ik nog meer doen om stunnel om de tuin te leiden?

Kan ik op de een of andere manier logging uit stunnel krijgen?

(Wat ik nu heb lopen werkt eerder bij toeval dan door enige
deskundigheid van mij, maar het heeft wel maandenlang goed gewerkt. Tot
afgelopen zondagmiddag... :)

>Groeten,
>-Roger

Ciao, Patrick.

[Patrick Vervoorn]

In article <slrntoukko...@my.local.lan>,

Nou ja, na de 1e lijns support (die van toeten nog blazen wist) kwam ik
bij een 2e lijn terecht (opnieuw wachten) en die gaf aan dat Spotnet
onder Windows nog goed werkte...

Maar dat is mogelijk ook toeval dan?

Nogmaals: ik heb hier nauwelijks verstand van...

Ciao, Patrick.

[Patrick Vervoorn]

In article <nnd$74cfde4e$0ae39e7b@ba124c98d381d79e>,

Zelf eens gezocht en via debug = 7 in de .conf file wordt er een hoop
informatie richting syslog gestuurd.

Als stunnel reeds is opgestart, en ik vervolgens daadwerkelijk
verbinding met stunnel probeer te maken valt het volgende in dat log op:

Dec 6 23:21:19 morannon stunnel: LOG7[2]: Verification started at depth=3: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden EV Root CA
Dec 6 23:21:19 morannon stunnel: LOG7[2]: CERT: Pre-verification succeeded
Dec 6 23:21:19 morannon stunnel: LOG7[2]: OCSP: Ignoring root certificate
Dec 6 23:21:19 morannon stunnel: LOG6[2]: Certificate accepted at depth=3: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden EV Root CA
Dec 6 23:21:19 morannon stunnel: LOG7[2]: Verification started at depth=2: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Domein Server CA 2020
Dec 6 23:21:19 morannon stunnel: LOG4[2]: CERT: Pre-verification error: certificate has expired
Dec 6 23:21:19 morannon stunnel: LOG4[2]: Rejected by CERT at depth=2: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Domein Server CA 2020
Dec 6 23:21:19 morannon stunnel: LOG7[2]: TLS alert (write): fatal: certificate expired
Dec 6 23:21:19 morannon stunnel: LOG3[2]: SSL_connect: ../ssl/statem/statem_clnt.c:1914: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

Is dit dus waar het op mis gaat?
Hoe kan ik stunnnel vertellen dat hij dit moet negeren?

verify = 0 staat reeds in de .conf, maar is dus niet de oplossing.

Ciao, Patrick.

[Patrick Vervoorn]

In article <nnd$45a240cc$65d8cfef@ba124c98d381d79e>,

Patrick Vervoorn <patrick....@NOSPAM.perihelion.demon.nl> wrote:

>Nou ja, na de 1e lijns support (die van toeten nog blazen wist) kwam ik

Foei. nog = noch.
't Is laat... :S

Ciao, Patrick.

[Coen]

On 4-12-2022 15:26, Patrick Vervoorn wrote:
> L.S.,
>
> Als ik via ssh contact wil leggen met news.kpn.nl krijg ik de volgende
> foutmelding:

> Storing?

Zelfde probleem hier met Thunderbird op Windows 10.
Net omgeschakeld van 563 naar 119 en opeens komt er een hele prak
berichten binnen van de afgelopen dagen.

Thunderbird geeft verder geen foutmelding.

[Coen]

On 7-12-2022 00:24, Coen wrote:

> Zelfde probleem hier met Thunderbird op Windows 10.
> Net omgeschakeld van 563 naar 119 en opeens komt er een hele prak
> berichten binnen van de afgelopen dagen.
>
> Thunderbird geeft verder geen foutmelding.

SSL weer aan en geen probleem.
Raar...

Met jouw bericht er bij en mijn bevindingen weet ik zeker dat er *iets* was.

[richard lucassen]

Het verschil tussen "naar" en "na" ontgaat sommigen onder ons ook wel
eens...

Of "nieuwschierig", ook zo'n fraaie :-)

--
richard lucassen
http://contact.xaq.nl/

[Roger]

On 2022/12/06 23:03, Patrick Vervoorn wrote:
> In article <slrntoukko...@my.local.lan>,
> robert <US3N37+{x.g}@gmail.com> wrote:
>> Roger <nosuc...@example.com>:
>>> On 2022/12/06 13:31, robert wrote:
>>>> Patrick Vervoorn <patrick....@NOSPAM.perihelion.demon.nl>:
>>>>> Ik heb ondertussen contact gehad met XS4ALL en die geven aan dat het nog
>>>>> gewoon werkt.
>>>>
>>>> Bij mij werkt het toch ook niet:
>>>>
>>>> $ ssh news.kpn.nl -p 563
>>>> kex_exchange_identification: read: Connection reset by peer
>>>
>>> Het is hier al genoemd: SSH != SSL/TLS.
>>
>> Uiteraard, maar Patrick denkt nu door een vreemde uitspraak van XS4ALL dat
>> het een lokaal probleem zou zijn.
>
> Nou ja, na de 1e lijns support (die van toeten nog blazen wist) kwam ik
> bij een 2e lijn terecht (opnieuw wachten) en die gaf aan dat Spotnet
> onder Windows nog goed werkte...

Dat een bepaald programma wel werkt, is geen bewijs dat er niets mis is.
Misschien controleert Spotnet de geldigheid van het certificaat niet (of
negeert gewoon de fout).

> Maar dat is mogelijk ook toeval dan?

Nee. De test met openssl laat zien dat het certificaat van news.kpn.nl zeer
recent verlopen is. Dat kan alleen worden verholpen door de beheerder van
die server.

Groeten,
-Roger

[Roger]

On 2022/12/06 23:01, Patrick Vervoorn wrote:
> (Wat ik nu heb lopen werkt eerder bij toeval dan door enige
> deskundigheid van mij, maar het heeft wel maandenlang goed gewerkt. Tot
> afgelopen zondagmiddag... :)

Niet verwonderlijk: het certificaat van news.kpn.nl verliep op 4 december
2022 om 13:30:37 GMT. Zondagmiddag dus...

Groeten,
-Roger

[Roger]

On 2022/12/06 23:25, Patrick Vervoorn wrote:
> Zelf eens gezocht en via debug = 7 in de .conf file wordt er een hoop
> informatie richting syslog gestuurd.
>
> Als stunnel reeds is opgestart, en ik vervolgens daadwerkelijk
> verbinding met stunnel probeer te maken valt het volgende in dat log op:
>
> Dec 6 23:21:19 morannon stunnel: LOG7[2]: Verification started at depth=3: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden EV Root CA
> Dec 6 23:21:19 morannon stunnel: LOG7[2]: CERT: Pre-verification succeeded
> Dec 6 23:21:19 morannon stunnel: LOG7[2]: OCSP: Ignoring root certificate
> Dec 6 23:21:19 morannon stunnel: LOG6[2]: Certificate accepted at depth=3: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden EV Root CA
> Dec 6 23:21:19 morannon stunnel: LOG7[2]: Verification started at depth=2: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Domein Server CA 2020
> Dec 6 23:21:19 morannon stunnel: LOG4[2]: CERT: Pre-verification error: certificate has expired
> Dec 6 23:21:19 morannon stunnel: LOG4[2]: Rejected by CERT at depth=2: C=NL, O=Staat der Nederlanden, CN=Staat der Nederlanden Domein Server CA 2020
> Dec 6 23:21:19 morannon stunnel: LOG7[2]: TLS alert (write): fatal: certificate expired
> Dec 6 23:21:19 morannon stunnel: LOG3[2]: SSL_connect: ../ssl/statem/statem_clnt.c:1914: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
>
> Is dit dus waar het op mis gaat?
> Hoe kan ik stunnnel vertellen dat hij dit moet negeren?
>
> verify = 0 staat reeds in de .conf, maar is dus niet de oplossing.

In de service sectie voor new.kpn.nl, neem ik aan? Het is een service optie,
geen globale.

Maar het is mij eerlijk gezegd niet duidelijk wat die optie precies wel en
niet doet. 'verify =' is deprecated en de vervangende optie verifyPeer lijkt
toch iets anders te doen. Ik heb 'verify = 0' in het verleden vooral gebruikt
gezien voor remote servers met self signed certificaten. Het zou best kunnen
dat een verlopen certificaat altijd een harde show stopper is.

Hier moet gewoon iemand bij Abavia (waar KPN de news service heeft uitbesteed)
aan de slag om een geldig certificaat te installeren.

Groeten,
-Roger

[Patrick Vervoorn]

In article <tmpp9b$h2q4$2...@dont-email.me>,

Dat past inderdaad knap precies bij mijn ervaringen...

>Groeten,
>-Roger

Ciao, Patrick.

[Patrick Vervoorn]

In article <tmpnv4$h2q4$1...@dont-email.me>,

Roger <nosuc...@example.com> wrote:
>On 2022/12/06 23:03, Patrick Vervoorn wrote:
>> In article <slrntoukko...@my.local.lan>,
>> robert <US3N37+{x.g}@gmail.com> wrote:
>>> Roger <nosuc...@example.com>:
>>>> On 2022/12/06 13:31, robert wrote:
>>>>> Patrick Vervoorn <patrick....@NOSPAM.perihelion.demon.nl>:
>>>>>> Ik heb ondertussen contact gehad met XS4ALL en die geven aan dat het nog
>>>>>> gewoon werkt.
>>>>>
>>>>> Bij mij werkt het toch ook niet:
>>>>>
>>>>> $ ssh news.kpn.nl -p 563
>>>>> kex_exchange_identification: read: Connection reset by peer
>>>>
>>>> Het is hier al genoemd: SSH != SSL/TLS.
>>>
>>> Uiteraard, maar Patrick denkt nu door een vreemde uitspraak van XS4ALL dat
>>> het een lokaal probleem zou zijn.
>>
>> Nou ja, na de 1e lijns support (die van toeten nog blazen wist) kwam ik
>> bij een 2e lijn terecht (opnieuw wachten) en die gaf aan dat Spotnet
>> onder Windows nog goed werkte...
>
>Dat een bepaald programma wel werkt, is geen bewijs dat er niets mis is.
>Misschien controleert Spotnet de geldigheid van het certificaat niet (of
>negeert gewoon de fout).

Maar dit zou in moeten houden dat alle tooling die 'serieus' SSL doet
ook om zou moeten vallen?

Ik zou dan ook verwachten dat meer mensen merken dat de verbinding niet
meer opgebouwd kan worden...

>> Maar dat is mogelijk ook toeval dan?
>
>Nee. De test met openssl laat zien dat het certificaat van news.kpn.nl zeer
>recent verlopen is. Dat kan alleen worden verholpen door de beheerder van
>die server.

Check.

>Groeten,
>-Roger

Ciao, Patrick.

[Patrick Vervoorn]

In article <tmps6l$hhjj$1...@dont-email.me>,

Ja, het staat in een aparte .conf met de volgende inhoud:

[xs4all-kpnnews]
client = yes
accept = 146
connect = news.kpn.nl:563
checkHost = news.kpn.nl
verify = 0
verifyChain = yes
CApath = /etc/ssl/certs
OCSPaia = no
libwrap = yes
debug = 7

Maar volgens het log wil 'ie er niet aan.

>Maar het is mij eerlijk gezegd niet duidelijk wat die optie precies wel en
>niet doet. 'verify =' is deprecated en de vervangende optie verifyPeer lijkt
>toch iets anders te doen. Ik heb 'verify = 0' in het verleden vooral gebruikt
>gezien voor remote servers met self signed certificaten. Het zou best kunnen
>dat een verlopen certificaat altijd een harde show stopper is.

Ik zag in de documenatie inderdaad dat het depracated is. Spelen met de
alternatieve genoemde opties leverde helaas niks op.

Van mij mag alle encryptie en security wel overboord, zolang het maar
weer werkt.

>Hier moet gewoon iemand bij Abavia (waar KPN de news service heeft
>uitbesteed) aan de slag om een geldig certificaat te installeren.

Tsja, vroeger las hier nog wel eens iemand van XS4ALL mee, maar die
tijden zijn vast definitief over.

Ik ga morgenochtend eens opnieuw bellen met XS4KPN in de hoop dat mensen
daar wakker schrikken.

Ik dacht trouwens dat ze dit aan XSNews hadden uitbesteed? Maar een
snelle check levert op dat die door Abavia worden gehost?

>Groeten,
>-Roger

Ciao, Patrick.

[Mark Huizer]

The wise Patrick Vervoorn enlightened me with:

> Van mij mag alle encryptie en security wel overboord, zolang het maar
> weer werkt.

Waarom gebruik je dan NNTPS en niet gewoon NNTP zonder encryptie? (dus
ipv 563 op 119). Authenticatie is er niet meer bij volgens mij, dus erg
veel valt er niet te bereiken met security in dit specifieke geval.

Mark

>>Hier moet gewoon iemand bij Abavia (waar KPN de news service heeft
>>uitbesteed) aan de slag om een geldig certificaat te installeren.
>
> Tsja, vroeger las hier nog wel eens iemand van XS4ALL mee, maar die
> tijden zijn vast definitief over.

Die beheren de nieuwsserver ook niet meer, dus die kunnen erg weinig
voor je betekenen, denk ik.
>

Mark

[Roger]

Inderdaad. En deze opmerking deed bij mij een lampje branden.

Het gros van de native KPN klanten zal vermoedelijk niet eens weten wat
usenet/news is. Het handjevol dat dat wel weet zal het probleem nu ook
wel hebben.

De meeste gebruikers van de news service zullen voormalige XS4ALL klanten
zijn en die zullen denk ik news.xs4all.nl/newszilla.xs4all.nl in hun news
reader hebben geconfigureerd. Deze service heeft een eigen IP-adres en een
eigen wel geldig certificaat. Het zou mij niet verbazen als de helpdesk ook
naar die service heeft zitten kijken (dan ligt het ook niet aan Spotnet dat
het wel werkt).

Maar... waarom gebruik je als voormalig XS4ALL-klant eigenlijk news.kpn.nl ?

Groeten,
-Roger

[Patrick Vervoorn]

In article <tmqo5p$k9nn$1...@dont-email.me>,

Roger <nosuc...@example.com> wrote:
>On 2022/12/07 18:32, Patrick Vervoorn wrote:

>> Maar dit zou in moeten houden dat alle tooling die 'serieus' SSL doet
>> ook om zou moeten vallen?
>>
>> Ik zou dan ook verwachten dat meer mensen merken dat de verbinding niet
>> meer opgebouwd kan worden...
>
>Inderdaad. En deze opmerking deed bij mij een lampje branden.
>
>Het gros van de native KPN klanten zal vermoedelijk niet eens weten wat
>usenet/news is. Het handjevol dat dat wel weet zal het probleem nu ook
>wel hebben.

Dat zijn er toch best wel veel, en daarvan gaan er toch paar bellen of
mekkeren op het kpn forum...?

>De meeste gebruikers van de news service zullen voormalige XS4ALL
>klanten zijn en die zullen denk ik news.xs4all.nl/newszilla.xs4all.nl
>in hun news reader hebben geconfigureerd. Deze service heeft een eigen
>IP-adres en een eigen wel geldig certificaat. Het zou mij niet verbazen
>als de helpdesk ook naar die service heeft zitten kijken (dan ligt het
>ook niet aan Spotnet dat het wel werkt).

Krijg nou wat, news.xsall.nl en newszilla.xs4all.nl resolven inderdaad
naar een subtiel ander ip-adres als news.kpn.nl.

Ik heb daarom mijn .conf aangepast naar news.xs4all.nl en nu werkt het
weer!

Dank voor dit inzicht!

>Maar... waarom gebruik je als voormalig XS4ALL-klant eigenlijk news.kpn.nl ?

Ik ben nog steeds XS4ALL klant hoor...?

>Groeten,
>-Roger

Ciao, Patrick.

[Patrick Vervoorn]

In article <slrntp1lk...@s-shell1.local.dohd.org>,

Mark Huizer <xaa+news_xs...@dohd.org> wrote:
>The wise Patrick Vervoorn enlightened me with:
>
>> Van mij mag alle encryptie en security wel overboord, zolang het maar
>> weer werkt.
>
>Waarom gebruik je dan NNTPS en niet gewoon NNTP zonder encryptie? (dus
>ipv 563 op 119). Authenticatie is er niet meer bij volgens mij, dus erg
>veel valt er niet te bereiken met security in dit specifieke geval.

De reden is simpel: het lukt me tot nu toe niet om een eenvoudige
port-forward voor elkaar te krijgen via iptables.

Met stunnel lukt het me wel.

Dus gebruik ik het tool dat werkt, ook al is dat, relatief gezien, een
heimachine vs een hamert.

>> Tsja, vroeger las hier nog wel eens iemand van XS4ALL mee, maar die
>> tijden zijn vast definitief over.
>
>Die beheren de nieuwsserver ook niet meer, dus die kunnen erg weinig
>voor je betekenen, denk ik.

Beheren misschien niet, maar o.a. Miquel heeft nog wel wat zaken gefikst
bij XSnews tijdens de transitie daarnaartoe vanaf newszilla.

Dus zij zouden, in theorie dan, een hintje kunnen droppen bij de
techneuten aldaar. Paarse broeken snappen hier natuurlijk niks van.

>Mark

Ciao, Patrick.

[Roger]

On 2022/12/07 23:06, Patrick Vervoorn wrote:

> Roger <nosuc...@example.com> wrote:>
>> Het gros van de native KPN klanten zal vermoedelijk niet eens weten wat
>> usenet/news is. Het handjevol dat dat wel weet zal het probleem nu ook
>> wel hebben.
>
> Dat zijn er toch best wel veel, en daarvan gaan er toch paar bellen of
> mekkeren op het kpn forum...?

Met "native KPN klanten" bedoel ik klanten die van oudsher bij KPN zaten.
Daar was usenet/news nooit een thema van betekenis. En de meeste gebruikers
zullen denk ik onversleuteld NNTP over poort 119 gebruiken (dat is in bv.
Thunderbird nog steeds de default). Die hebben geen probleem.

Er is op het KPN forum inmiddels wel een topic over dit probleem:
https://forum.kpn.com/internet-9/news-kpn-nl-werkt-niet-meer-579898
Daar word ik zelfs geciteerd (zonder bronvermelding).

Ik ben benieuwd hoe lang het duurt tot dit is opgelost. Ik kan mij
voorstellen dat KPN alle usenet diensten bij elkaar veegt. Dat kost
een paar dagen.

Groeten,
-Roger

[Patrick Vervoorn]

In article <tms0qr$qecv$1...@dont-email.me>,

Roger <nosuc...@example.com> wrote:
>On 2022/12/07 23:06, Patrick Vervoorn wrote:
> > Roger <nosuc...@example.com> wrote:>
> >> Het gros van de native KPN klanten zal vermoedelijk niet eens weten wat
> >> usenet/news is. Het handjevol dat dat wel weet zal het probleem nu ook
> >> wel hebben.
> >
> > Dat zijn er toch best wel veel, en daarvan gaan er toch paar bellen of
> > mekkeren op het kpn forum...?
>
>Met "native KPN klanten" bedoel ik klanten die van oudsher bij KPN zaten.
>Daar was usenet/news nooit een thema van betekenis. En de meeste gebruikers
>zullen denk ik onversleuteld NNTP over poort 119 gebruiken (dat is in bv.
>Thunderbird nog steeds de default). Die hebben geen probleem.
>
>Er is op het KPN forum inmiddels wel een topic over dit probleem:
>https://forum.kpn.com/internet-9/news-kpn-nl-werkt-niet-meer-579898
>Daar word ik zelfs geciteerd (zonder bronvermelding).

Ik zie het, haha. Nou, dan heeft mijn belletje ook weinig zin...

>Ik ben benieuwd hoe lang het duurt tot dit is opgelost. Ik kan mij
>voorstellen dat KPN alle usenet diensten bij elkaar veegt. Dat kost
>een paar dagen.

Ik zal het topic eens in de gaten houden en als daar gemeld wordt dat er
iets gefikst is kan ik het eens opnieuw proberen.

>Groeten,
>-Roger

Ciao, Patrick.

[Roger]

Het probleem is opgelost: KPN heeft een nieuw certificaat geïnstalleerd
voor news.kpn.nl/textnews.kpn.nl :)

Groeten,
-Roger

[Patrick Vervoorn]

In article <tn6tsh$26u1i$1...@dont-email.me>,

Ik zag het, maar blijf gewoon stunnel op news.xs4all.nl richten.

Vond dit wel een hele educatieve link uit het forum:

https://www.sslshopper.com/ssl-checker.html#hostname=news.kpn.nl:563

Ciao, Patrick.

[Erik]

Hoi,

Ja, Thunderbird werkt nu ook weer. :)

Groet,
Erik