[Eisfair] CRL-Listen (was: Korrektur fuer Sicherheitsupdate OpenSSL-1.0.2h)
Marcus Roeckrath
marcus.roeckrath at gmx.de
Sa Mai 7 16:00:27 CEST 2016
Hallo Kay,
Kay Martinen wrote:
>> Das klingt doch danach, als wären lokale CRL-Datenbanken (irgendwie muss
>> man diese Dateien schon so nennen, wenn sie so groß werden) doch
>> überflüssig.
>
> Ich kann da auch nur raten aber... kann es sein das lokale Daten von den
> Programmen die es verwenden bevorzugt genutzt werden? Wenn keine
> Zertifikats-widerrufslisten lokal vorhanden wären, dann müsste man für
> jedes zu prüfende Zertifikat ja eine extra Session zu einem OCSP-Server
> (und welchem denn dann?) aufbauen, und dieses wohl wiederum
> verschlüsselt um sicher zu gehen das es der richtige ist und die angaben
> gültig sind. Dieser Overhead entfiele bei lokal vorhandenen Listen.
Exim schreibt im Kapitel "8. Revoked certificates" unter
http://www.exim.org/exim-html-current/doc/html/spec_html/ch-encrypted_smtp_connections_using_tlsssl.html
etwas dazu.
Das und Sekundärliteratur reichen für einen ausgefüllten Abend.
Ich verstehe das nicht durch einmal lesen.
--
Gruss Marcus
Mehr Informationen über die Mailingliste Eisfair