[Eisfair] ablaufende Zertifikate...

Marcus Röckrath marcus.roeckrath at gmx.de
Mi Jan 22 19:12:54 CET 2020 

Hallo Stefan,

Stefan Puschek wrote:

>> CA sind niemals unrequired.
> 
> da kommen wir der Sache schon näher: alle von mir entfernten Zertifikate
> waren für CAs :)

Da habe ich mich zugegebenermaßen etwas ungenau ausgedrückt; meinte hier
nicht das, was die unrequired-Funktion des certs-Paketes meint; eher im
Sinne CA sind wichtig.

Das certs-Paket gibt bei einer Prüfung z. B. folgendes aus:

DELETE:R:ACCVRAIZ1.pem (0)

Dieses würde gelöscht, denn es ist nicht Bestandteil irgendeiner Kette.

KEEP:R:DigiCert_Global_Root_CA.pem (1)
KEEP:C:LetsEncryptAuthorityX3.pem (1)

Die beiden werden behalten, da sie in 1 Kette auftauchen, wobei
LetsEncryptAuthorityX3 kein Root ist, sondern das Ende der Kette darstellt.
Das darfst du auch nicht löschen, weil dieses als Zwischenzertifikat das
Packeis-Zertifikat signiert.

Das Packeis-Zertifikat hast du aber selbst nicht auf dem system. Brauchst du
auch nicht, lohnt sich auch nicht, das es alle 90 Tage wechselt.

Du wirst auf deinem system einen ganzen Zoo von Root/Zwischenzertifikaten
gehabt haben, so dass die meisten davon irgendwie in einer Kette
auftauchen, also das Paket da auch nichts löschen will. Zertifikate, die an
oberster Stelle (Endzertifikate) stehen, sollten besser nicht gelöscht
werden, denn die könnte ja ein Admin bewußt abgelegt haben. Ob es sich
dabei noch um ein Zwischenzertifikat handelt, ist dabi nicht entscheidbar.

Wenn du genau weist, mit welchen Gegenstellen du eine gesicherte Verbindung
aufnehmen willst, brauchst du auch exakt nur deren Root/Zwischenzertifikate
vorhalten.

Gefahr: Dein Mailprovider erneuert ein Zertifikat und läßt es aber nun von
einer CA signieren, wie es zuletzt einige Mailprovider getan haben. Dann
bekommst du im Mailpaket Fehler und begibst dich wieder auf die Suche.

Ein anderer eisfair-Anbieter sagt dir, dass du dir mit

wget https://irgendwo.topleveldomain

etwas downloaden sollst. Wenn du dann nicht dessen signierendes
Rootzertifikat vorhälst, wird das nichts.

Wenn man mit den Zertifikaten nicht wirklich vertraut ist, ist das Vorhalten
des Bundles, nicht anderes tut Firefox auch, keine schlechte Idee und bei
den heutigen Plattengrößen tut das auch nicht weh.

> Danke, dass Du Licht ins Zertifikats-Dunkel gebracht hast :)

Ich hoffe jetzt.

-- 
Gruß Marcus
[eisfair-Team]

Mehr Informationen über die Mailingliste Eisfair