[Eisfair] [e1] certs 1.3.4

[Marcus Roeckrath]

Hallo Heiko,

Heiko Siek wrote:

>> Es ging um einen GMX-Mailaccount:
>>
>> certificate : pop.gmx.net.pem (f5ee6ec7)
>> +->| certificate : TeleSec_ServerPass_DE-1.pem (eb20b578)
>>     +->| certificate : Deutsche_Telekom_Root_CA_2.pem (812e17de)
>>
> eben mal das gleiche Szenario hier durchgespielt.
> Account ebenfalls GMX.
> Nach dem 'Bereinigen' fehlen die Zertifikate von TeleSec und das Root_Ca
> der Telekom, die dann auch bei dem Punkt 'show certificate chain' im
> Anschluss moniert werden.

Bitte nicht die Zertifikate verwechseln.

18b2bcaa.0 -> TeleSec_ServerPass_CA_1.pem
1e09d511.0 -> T-TeleSec_GlobalRoot_Class_2.pem
1e1eab7c.0 -> T-TeleSec_GlobalRoot_Class_3.pem
4804495f.0 -> TeleSec_ServerPass_DE-1.pem
5443e9e3.0 -> T-TeleSec_GlobalRoot_Class_3.pem
T-TeleSec_GlobalRoot_Class_2.pem
T-TeleSec_GlobalRoot_Class_3.pem
TeleSec_ServerPass_CA_1.pem
TeleSec_ServerPass_DE-1.pem
b43a555f.0 -> TeleSec_ServerPass_CA_1.pem
d06393bb.0 -> T-TeleSec_GlobalRoot_Class_2.pem
eb20b578.0 -> TeleSec_ServerPass_DE-1.pem

Die T-TeleSec-Zertifikate sind Root-Zertifikate, die mit der gmx-Kette
nichts zu tun haben; diese werden bereinigt, wenn sie nicht Teil einer
Kette sind.

Die TeleSec-Zertifikate sind Zwischenzertifikate, die im Falle des
TeleSec_ServerPass_DE-1.pem Bestandteil der gmx-Zertifkatskette sind. Diese
Zertifikate sind auch nicht im CA-Bundle erhalten sondern müssen manuell
"besorgt" werden.

Wenn man die Root-Zertifikate bereinigen möchte, bitte unbedingt vorher
prüfen, ob die Zertifikatsketten der benötigten Endzertifikate auch
vollständig sind.

Ansonsten kann es zur Löschung von eigentlich notwendigen Root-Zertifikaten
kommen.

-- 
Gruss Marcus