[Eisfair] Aufräumen bei den Zertifikaten - wie?

Stefan Puschek stefan.puschek at t-online.de
Di Mär 19 15:17:15 CET 2024 

Hallo Marcus,

> > wie geschrieben, möchte ich bei den Zertifikaten aufräumen; da gibt
> > es einige Kandidaten bei denen ich nicht weiss, warum ich sie habe
> > :(
> > 
> >    1  digicert_global_root_ca
> >    2  digicert_global_root_g2
> >    3  digicert_sha2_secure_server_ca
> >    4  isrg_root_x1
> 
> Hier fehlt schon eines: isrg_root_x2

wiseo? wer (welches Zertifikat) braucht das? momentan werden alle
chains bis end of chain aufgelöst

> >    5  mail.gmx.net
> >    6  r3
> >    7  securepop.t-online.de
> >    8  securesmtp.t-online.de
> >    9  smtp.web.de
> >   10  t-telesec_globalroot_class_2
> >   11  telekom_securit...d_ov_class_2_ca
> > 
> > 5, 7, 8, 9 sind klar - brauche ich zum Mailen.
> > 
> > 10, 11 werden von 5, 7, 8, 9 benötigt.
> 
> Genau, die habe ich daher auch.

das beruhigt...

> > Aber warum habe ich 1, 2, 3, 4, 6 auf der Kiste?
> 
> isrg_root_x1
> isrg_root_x2
> r3
> 
> sind die Zwischenzertifikate, die üblicherweise für
> letencrypt-Zertifikate, also auch pack-eis, gebraucht werden. Diese
> sind Standardbestandteil von eis!

ich selbst habe nix von LE: nutzt der eis LE ohne dass deren Zertifikat
in /var/certs/ssl/certs steht ?

> > Gibt es eine Möglichkeit herauszufinden, wer (welcher Dienst /
> > welches Programm) diese Zertifikate benötigt?
> 
> Nein, denn es sind ja möglicherweise garkeine Serverzertifikate,
> sondern Zwischenzertifikate oder Rootzertifikate, mit denen dann die
> Kette eines eingehenden Serverzertifikats geprüft wird.

das ist klar: in jeder chain stehen UNTEN die root-Zertifikate

ich will aber herausfinden, welche Zertifikate OBEN in einer chain
überflüssig sind; Und das geht ja anscheinend nicht...

> Nr. 2 habe ich auch drauf, denn das ist das Root meines
> Internetproviders helinet/helimail.

da bin ich nicht - also (hier) überflüssig

> Neben den Mailserverzertifikaten, welche man für eines exakten
> Gegencheck z. B. in fetchmail, direkt vorhält, braucht man
> üblicherweise nur Zwischen/Rootzertifikate, um die Kette eingehender
> Zertifikate zu prüfen. Diese Zertifikate unterschreiben durchaus eine
> Menge von Serverzertifikaten, so dass niemand dir sagen kann, aus
> welchem Grund du sie dir mal installiert hast.
> 
> Ich habe z. B.
> 
> Baltimore_CyberTrust_Root
> GlobalSign_Root_CA_-_R3

die habe ich wimre "früher" für die Signaturupdates vom clamav gebraucht

> auch drauf, kann dir aber jetzt nicht genau sagen, weshalb; eines
> davon braucht man IMHO für clamav.
> 
> > Klar kann ich probeweise diese Zertifikate verschieben und warten
> > bis irgendwas nicht mehr funktioniert - aber vielleicht geht das
> > auch weniger "rustikal"?
> 
> Das ist die einzig sinnvolle Methode.

na toll :(

Danke

Groetjes
Stefan

Mehr Informationen über die Mailingliste Eisfair