[Eisfair] Korrektur fuer Sicherheitsupdate OpenSSL-1.0.2h

[Christoph Schulz]

Hallo!

Alexander Dahl schrieb:

> Nicht zwingend. OCSP dient doch dazu, dass die Clients nicht jeder
> einzeln beim Server mit der CRL angeeiert kommen. Ich dachte bei
> Webservern läuft das so, dass der dann die CRL irgendwie cached und die
> Clients dann über OSCP vom Webserver die benötigte Info bekommen können.
> Oder liege ich da falsch? Wird das im Zusammenhang mit Mailservern
> überhaupt benutzt?

Warum sollte ein MTA nicht prinzipiell via OCSP die CRL-Infos anfordern 
können? Warum sollte er sie nicht (zwischen)speichern können? Ich habe nie 
behauptet, dass ich wüsste, ob exim, postfix o.ä. OCSP sprechen. Aber von 
der Beschreibung her sehe ich nichts, was fundamental dagegen spräche. Mir 
erscheint jedenfalls ein manuelles und regelmäßiges (womöglich tägliches?) 
Herunterladen einer mehrere zehn MiB großen CRL-Datei irrsinnig -- lieber 
frage ich doch beim zuständigen OCSP-Server nach, ob das Zertifikat, was ich 
erhalten habe, nicht zurückgezogen wurde. Das reduziert den Datenverkehr 
erheblich und enthebt mich der Notwendigkeit, einen regelmäßigen Update-
Mechanismus einzurichten, um auf dem aktuellen Stand zu bleiben. Und 
nebenbei wäre das aktuelle OpenSSL-Problem dann auch nicht mehr relevant.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]