[Eisfair] ablaufende Zertifikate...

[Stefan Puschek]

Hallo Marcus,
...
>> dann stellt sich mir die simple Frage, warum ich diese Zertifikate
>> ÜBERHAUPT habe...
> 
> Wenn du nicht weißt, woher die sind, wie soll ich das wissen?
> 
> Vielleicht mal über das Bundle reingekommen; im aktuellen Bundle scheint es
> nicht drin zu sein.

Du hast mich falsch verstanden... :)

>> Wie bekomme ich heraus, wer / welches andere Zertifikat die beiden
>> ablaufenden braucht...
> 
> Indem du die Chain jedes einzelnen prüfst, aber das ist sowieso der falsche
> Ansatz.
> 
> Man braucht die Zwischen- und Rootzertifikate, um z. B. bei einem Download
> mit wget ein von der Gegenstelle präsentiertes Zertifikat prüfen zu können.

aber legt wget die Zertifikate im certs-Verzeichnis ab?

> Die eigentlichen Serverzertifikate hat man garnicht auf seinem System, was
> aufgrund der schieren Masse auch nicht gehen würde. Alleine für Mail
> (exim/fetchmail) hält man gegenbenenfalls die Zertifikate der eigenen
> Mailprovider vor, um ein übermitteltes Zertifikat exakt vergleichen zu
> können.

Genau das wollte ich ja haben: die Zertifikate MEINER Provider und sonst nix

Also habe ich nach unrequired certs suchen lassen - es gab keine; daher 
meine Frage, wie ich herausbekomme, wer die beiden benötigt hat...

>> Hintergrund der Frage ist: ich kann ja nach unrequired certs suchen
>> lassen - aber da findet er keines was ich nicht benötige. Also warum
>> sind die beiden auf meinem System?
> 
> Weil sie irgendwann mal drauf gekommen sind.

aber dann müssten sie doch jetzt unrequired sein - oder habe ich das 
falsch verstanden?


Ich habe jetzt mal den ganzen Baum certs gesichert und dann NUR die 
Zertifikate in den Chains meiner Provider behalten (ca, imapd, pure-ftpd 
natürlich auch); rehash und update der crls habe ich auch angestossen - 
mal sehen, wann es Mecker im logfile gibt...


Groetjes
Stefan