[Eisfair] Mails gehen obwohl Zertifikate alt

[Marcus Roeckrath]

Hallo Harald,

Harald Seitter wrote:

>> Wenn du dort nichts einträgst, wird - wie bei smtp - nur die Gültigkeit
>> des Zertifkats geprüft, aber nicht zusätzlich auch, ob es das richtige
>> ist.
>> 
>> Mail-Clients wie Thunderbird arbeiten IMHO genauso.
> 
> Aber das wäre ja die Antwort auf meine ursprüngliche Frage. Die
> Eingabe der aktuellen Fingerprints hat vermutl. die alten
> Zertifikate nach 10.04. nicht mehr stören lassen. D.h. wären die
> Fingerprints von mir nicht ersetzt worden und leer gewesen hätte es dann
> zu Problemen geführt.

IMHO ja.

Sind Fingerprint eingetragen, dann wird von fetchmail

(1) die Kette des vom Provider übermittelten Zertifikat

und

(2) der Fingerprint des Zertifikats mit dem vorgegebenen Fingerprint

geprüft.

Ist kein Fingerprint eingetragen, wird nur (1) geprüft.

> Bleibt nur noch die Frage warum smtp nach dem Wechsel weiterging.

Weil nur die Gültigkeit des vom Provider übermittelten Zertifkates geprüft
wird, dazu muss auf dem lokalen System keine Informationen zum Zertifikat
vorliegen, außer den Zwischen- und Rootzertifikaten, die zur Kette gehören.

> Da aber da immer eine Menge durchrauschen schaut man da nicht
> so genau. Es gibt ja den Punkt: identify unrequired certifictes. Hatte
> ich nie gemacht, könnte ja sein, dass dann was fehlt.
> 
> Also diesen Menüpunkt beherzt ausführen?

Habe ich hier gemacht und die Zahl der lokal gespeicherten Zertifikate auf
das absolut notwendige Maßß reduziert.

Dann muss du aber auch das imap|pop3|smpt.strato.de Zertifikat auf dem
System vorhalten, da sonst eventuell das an erster Stelle unterzeichnende
Zwischenzertifikat gelöscht wird.

Zertifikate, die keines der lokal gespeicherten Zertifkate unterschreiben,
werden entfernt.

-- 
Gruss Marcus