[Eisfair] Aufräumen bei den Zertifikaten - wie?

Marcus Röckrath marcus.roeckrath at gmx.de
Di Mär 19 15:53:10 CET 2024 

Hallo Stefan,

Stefan Puschek wrote:

>> >    4  isrg_root_x1
>> 
>> Hier fehlt schon eines: isrg_root_x2
> 
> wiseo? wer (welches Zertifikat) braucht das? momentan werden alle
> chains bis end of chain aufgelöst

Da hat es bei letsencrypt mal einen Wechsel gegeben, so dass dort zwei
Chains auftreten können, um auch Altclients die Prüfung weiterhin zu
erlauben; genaueres müsste ich auch erst nochmal nachlesen, ist so 2-3
Jahre her.

> ich selbst habe nix von LE: nutzt der eis LE ohne dass deren Zertifikat
> in /var/certs/ssl/certs steht ?

Wenn du ein Paket per geschütztem https-Download von Packeis instaliierst,
liefert Packeis sein (letsencrapt) Zertifikat an dich aus.

Dein lokaler Downloadclient prüft, ob das übermittelte Zertifikat in Ordnung
ist, indem es mittels der lokal gespeicherten Zwischen/Rootzertifikate die
Chain prüft. Ist die Prüfung erfolgreich, wird der Download gemacht.

Nichts anderes passiert, wenn du mit Firefox eine https-Seite aufrufst. Dann
übernittelt der Webserver sein Zertifikat, welches dann Firefox mit sienem
lokalen Zwischen/Rootzertifikatsspeiher prüft, bevor er die Webseite
anzeigt.

Sollte dein Server z. B. ein von einer Stelle (z. B. letsencrapt)
unterueichnetes Zertifkat haben, brauchst du nicht lokal das Root des
letsencrapt-Zertifikates, sondern deine "Kunden", die einen geschützten
Dienst auf deinem Server nutzen.

Stell dir vor, jemand will dich über etwas befragen und läßt sich anhand des
Perso deine Identität prüfen und begutachtet daher bestimmte Merkmale des
Ausweispapier, ob du du bist oder jemand anderes behauptet, er wäre du.

Ein Zertifikat ist der Ausweis eines Servers, welches der Empfänger mittels
lokal abgespeicherter Zertifikate prüft.

Eine kleine Übung am Rande: Erstelle auf deinem Server ein Zertifikat für
microsoft.com.

> das ist klar: in jeder chain stehen UNTEN die root-Zertifikate

Wenn dann am Ende "End of chein" steht bzw. beim letzten Zertifikat Issuer
und Subject gleich sind.

> ich will aber herausfinden, welche Zertifikate OBEN in einer chain
> überflüssig sind; Und das geht ja anscheinend nicht...
> 
>> Nr. 2 habe ich auch drauf, denn das ist das Root meines
>> Internetproviders helinet/helimail.
> 
> da bin ich nicht - also (hier) überflüssig

Wahrscheinlich, solange du nicht auf dem Server einen externen Server
ansprichst, dessen Zertifikat auch von Nr. 2 beglaubigt ist. 

>> > Klar kann ich probeweise diese Zertifikate verschieben und warten
>> > bis irgendwas nicht mehr funktioniert - aber vielleicht geht das
>> > auch weniger "rustikal"?
>> 
>> Das ist die einzig sinnvolle Methode.
> 
> na toll :(

Tut mir leid, aber ich weiß nicht, welche Gegenstellen dein Server so
kontaktiert.

-- 
Gruß Marcus
[eisfair-Team]

Mehr Informationen über die Mailingliste Eisfair