[Eisfair] CRL-Listen

Kay Martinen kay at martinen.de
Sa Mai 7 17:33:43 CEST 2016 

Am 07.05.2016 um 16:00 schrieb Marcus Roeckrath:
> Hallo Kay,
> 
> Kay Martinen wrote:
> 
>>> Das klingt doch danach, als wären lokale CRL-Datenbanken (irgendwie muss
>>> man diese Dateien schon so nennen, wenn sie so groß werden) doch
>>> überflüssig.
>>
>> Ich kann da auch nur raten aber... kann es sein das lokale Daten von den
>> Programmen die es verwenden bevorzugt genutzt werden? Wenn keine
>> Zertifikats-widerrufslisten lokal vorhanden wären, dann müsste man für
>> jedes zu prüfende Zertifikat ja eine extra Session zu einem OCSP-Server
>> (und welchem denn dann?) aufbauen, und dieses wohl wiederum
>> verschlüsselt um sicher zu gehen das es der richtige ist und die angaben
>> gültig sind. Dieser Overhead entfiele bei lokal vorhandenen Listen.
> 
> Exim schreibt im Kapitel "8. Revoked certificates" unter
> http://www.exim.org/exim-html-current/doc/html/spec_html/ch-encrypted_smtp_connections_using_tlsssl.html
> etwas dazu.
> 
> Das und Sekundärliteratur reichen für einen ausgefüllten Abend.

Warscheinlich, ja.

> Ich verstehe das nicht durch einmal lesen.

Soweit ich das Verstehe/las gibt es drei möglichkeiten.

1. Man muss die CRLs periodisch downloaden, und exim per 'tls_crl'
Parameter übergeben, er prüft dann damit lokal auf Gültigkeit eines
Zertifikats.

2. OCSP. Dazu braucht es einen OCSP-Server (und einziger dem autor
bekannter soll in openSSL stecken) und den privaten schlüssel der CA
damit exim darüber Zertifikate validiert. Das ermöglicht der CA jede
Verwendung des Zertifikats zu protokollieren und erfordert ggf. (auf
Exim/OCSP-Clientseite?) immer wieder die eingabe einer passphrase.

3. OCSP-Stapling. Ein Server der ein Zertifikat nutzt fragt periodisch
ein 'Proof of validity' beim OCSP-Server ab und nutzt dies "Inline"
(vermutlich ein Zertifikats-Cache???) für (s)eine TLS-Aushandlung. Aber
es erfordert wohl einen (lokalen OCSP-)Server support der in exim
normalerweise disabled ist...

... or with GnuTLS earlier than version 3.3.16 / 3.4.8

Ich nehme an das der Eisfair-exim Möglichkeit 1 nutzt, denn #2 wird wohl
nicht praktikabel sein und bei #3 bin ich mir nicht sicher ob und wie
das ginge. Obwohl es die Interessanteste Lösung sein könne...?

Vielleicht hilft es weiter!?

Kay
-- 
https://www.linuxcounter.net/cert/224140.png

Mehr Informationen über die Mailingliste Eisfair