[Eisfair] Mails gehen obwohl Zertifikate alt

[Harald Seitter]

Hallo Markus,

Am 14.04.2019 um 11:32 schrieb Marcus Roeckrath:
>>
>> Aber das wäre ja die Antwort auf meine ursprüngliche Frage. Die
>> Eingabe der aktuellen Fingerprints hat vermutl. die alten
>> Zertifikate nach 10.04. nicht mehr stören lassen. D.h. wären die
>> Fingerprints von mir nicht ersetzt worden und leer gewesen hätte es dann
>> zu Problemen geführt.
> 
> IMHO ja.
> 
> Sind Fingerprint eingetragen, dann wird von fetchmail
> 
> (1) die Kette des vom Provider übermittelten Zertifikat
> 
> und
> 
> (2) der Fingerprint des Zertifikats mit dem vorgegebenen Fingerprint
> 
> geprüft.
> 
> Ist kein Fingerprint eingetragen, wird nur (1) geprüft.
> 
>> Bleibt nur noch die Frage warum smtp nach dem Wechsel weiterging.
> 
> Weil nur die Gültigkeit des vom Provider übermittelten Zertifkates geprüft
> wird, dazu muss auf dem lokalen System keine Informationen zum Zertifikat
> vorliegen, außer den Zwischen- und Rootzertifikaten, die zur Kette gehören.
> 
>> Da aber da immer eine Menge durchrauschen schaut man da nicht
>> so genau. Es gibt ja den Punkt: identify unrequired certifictes. Hatte
>> ich nie gemacht, könnte ja sein, dass dann was fehlt.
>>
>> Also diesen Menüpunkt beherzt ausführen?
> 
> Habe ich hier gemacht und die Zahl der lokal gespeicherten Zertifikate auf
> das absolut notwendige Maßß reduziert.
> 
> Dann muss du aber auch das imap|pop3|smpt.strato.de Zertifikat auf dem
> System vorhalten, da sonst eventuell das an erster Stelle unterzeichnende
> Zwischenzertifikat gelöscht wird.
> 
> Zertifikate, die keines der lokal gespeicherten Zertifkate unterschreiben,
> werden entfernt.
> 

Danke für die Infos. Ich denke jetzt ist doch einiges klarer geworden
und ev. haben Mitlesende in diesem Thread auch noch was gelernt.

Besten Dank und noch ein schönes Wochenende

Harald