[Eisfair] Korrektur fuer Sicherheitsupdate OpenSSL-1.0.2h

[Kay Martinen]

Am 07.05.2016 um 19:57 schrieb Christoph Schulz:
> 
> Warum sollte ein MTA nicht prinzipiell via OCSP die CRL-Infos anfordern 
> können? Warum sollte er sie nicht (zwischen)speichern können? Ich habe nie 

Wenn er die schon zwischenspeichern würde, liegt der nächste schritt
doch auch nahe, diesen cache zentral zu halten so das auch andere
programme (andere mailer, webserver o.a.) dagegen validieren könnten.

> behauptet, dass ich wüsste, ob exim, postfix o.ä. OCSP sprechen. Aber von 
> der Beschreibung her sehe ich nichts, was fundamental dagegen spräche. Mir 
> erscheint jedenfalls ein manuelles und regelmäßiges (womöglich tägliches?) 
> Herunterladen einer mehrere zehn MiB großen CRL-Datei irrsinnig -- lieber 

Nachdem ich den von Marcus geposteten link las, fände ich das die besser
von drei möglichen alternativen.

> frage ich doch beim zuständigen OCSP-Server nach, ob das Zertifikat, was ich 
> erhalten habe, nicht zurückgezogen wurde. Das reduziert den Datenverkehr 

Wirklich? Wenn er das nicht lange genug zwischenspeichert; oder es einen
Restart nicht überlebt; dann fragt er doch wohl für jede einzelne mail
nach gültigen Zertifikaten. Was dann beim versand mehr overhead bedeutet
und ebenso beim OCSP-Server mehr traffic. UND der OCSP-Server bekommt
exklusiv die info welches Zertifikat wann von wo nach gefragt wurde -
für jede einzelne mail.

Warum stehen die Datenschützer dabei eigentlich noch nicht Kopf? ;)
Sind das nicht "noch mehr Metadaten" für NSA u.Co?

Vielleicht verstehe ich da ja auch was falsch...

Kay
-- 
https://www.linuxcounter.net/cert/224140.png