[Eisfair] Aufräumen bei den Zertifikaten - wie?

Marcus Röckrath marcus.roeckrath at gmx.de
Di Mär 19 14:49:04 CET 2024 

Hallo Stefan,

Stefan Puschek wrote:

> wie geschrieben, möchte ich bei den Zertifikaten aufräumen; da gibt es
> einige Kandidaten bei denen ich nicht weiss, warum ich sie habe :(
> 
>    1  digicert_global_root_ca
>    2  digicert_global_root_g2
>    3  digicert_sha2_secure_server_ca
>    4  isrg_root_x1

Hier fehlt schon eines: isrg_root_x2

>    5  mail.gmx.net
>    6  r3
>    7  securepop.t-online.de
>    8  securesmtp.t-online.de
>    9  smtp.web.de
>   10  t-telesec_globalroot_class_2
>   11  telekom_securit...d_ov_class_2_ca
> 
> 5, 7, 8, 9 sind klar - brauche ich zum Mailen.
> 
> 10, 11 werden von 5, 7, 8, 9 benötigt.

Genau, die habe ich daher auch.

> Aber warum habe ich 1, 2, 3, 4, 6 auf der Kiste?

isrg_root_x1
isrg_root_x2
r3

sind die Zwischenzertifikate, die üblicherweise für letencrypt-Zertifikate,
also auch pack-eis, gebraucht werden. Diese sind Standardbestandteil von
eis!

> Gibt es eine Möglichkeit herauszufinden, wer (welcher Dienst /
> welches Programm) diese Zertifikate benötigt?

Nein, denn es sind ja möglicherweise garkeine Serverzertifikate, sondern
Zwischenzertifikate oder Rootzertifikate, mit denen dann die Kette eines
eingehenden Serverzertifikats geprüft wird.

Nr. 2 habe ich auch drauf, denn das ist das Root meines Internetproviders
helinet/helimail.

Neben den Mailserverzertifikaten, welche man für eines exakten Gegencheck z.
B. in fetchmail, direkt vorhält, braucht man üblicherweise nur
Zwischen/Rootzertifikate, um die Kette eingehender Zertifikate zu prüfen.
Diese Zertifikate unterschreiben durchaus eine Menge von Serverzertifikaten,
so dass niemand dir sagen kann, aus welchem Grund du sie dir mal
installiert hast.

Ich habe z. B.

Baltimore_CyberTrust_Root
GlobalSign_Root_CA_-_R3

auch drauf, kann dir aber jetzt nicht genau sagen, weshalb; eines davon
braucht man IMHO für clamav.

> Klar kann ich probeweise diese Zertifikate verschieben und warten bis
> irgendwas nicht mehr funktioniert - aber vielleicht geht das auch
> weniger "rustikal"?

Das ist die einzig sinnvolle Methode.

-- 
Gruß Marcus
[eisfair-Team]

Mehr Informationen über die Mailingliste Eisfair