[Eisfair] mail-addon-certs - Erfahrung

Juergen Edner juergen at eisfair.org
Mi Jul 30 15:31:17 CEST 2014 

Hallo Marcus, hallo Thomas,

>> also mir das Problem von Jens nicht unbekannt und betrifft bei mir
>> gmx-Accounts.
> 
> Ich versteh das bei gmx nicht und kann es auch nicht nachvollziehen.
> 
> Das gmx-Mailzertifikat ist schon älter und wurde auch in der letzten Zeit
> nicht erneuert/ersetzt.
> 
> Ich habe die automatische Aktualisierung für smtp-Zertifikate nicht mal
> aktiviert.
> 
> Wenn sich aber das Zertifikat nicht ändert, ändern sich auch nicht die
> zugrundeliegenden Zwischen/Root-Zertifikate und auch nicht die im
> gmx-Zertifikat hinterlegte CRL-URI.
> 
> Sind die Zertifikatsketten bei Euch für das gmx-Zertifikat in Ordnung?

bei einem Verbindungsaufbau wird neben der Zertifikatskette auch
geprüft, ob kein relevanter Eintrag in der CRL existiert. Eine CRL
hat dabei einen Gültigkeitszeitraum welcher mittels des folgenden
Befehls angezeigt werden kann:

# openssl crl  -lastupdate -nextupdate -noout -in <name-der-crl-datei>
lastUpdate=Jul 28 14:03:33 2014 GMT
nextUpdate=Aug  4 14:03:33 2014 GMT

Ich nutze den Zeitstempel von "nextUpdate" +3min um einen
entsprechenden at-Job zu erzeugen um dann die CRL-Datei zu
aktualisieren. Falls ein Provider diesen Zeitpunkt verschläft
und die Datei erst zu einem späteren Zeitpunkt aktualisiert
sollte sich das Problem nach einiger Zeit selbst lösen, da
ich dann bereits nach weiteren 3min eine Aktualisierung versuche.

Ich vermute also, dass es ein Problem hinsichtlich des
CRL-Aktualisierungszeitpunktes gibt. Schaut doch einmal um welche CRL es
sich handelt

# openssl x509 -in "<name-der-zertifikatsdatei>" -noout -text | sed -n
'/X509v3 CRL Distribution Points:/,/URI:/p'
            X509v3 CRL Distribution Points:

                Full Name:

URI:http://crl.serverpass.telesec.de/rl/TeleSec_ServerPass_DE-1.crl

Anschließend solltet Ihr Ihr mittels der Logdatei
/var/log/certs-update-crl.log nachvollziehen wann diese aktualisiert
wurde. Der folgende Eintrag zeigt dabei den vorherigen und zukünftigen
Aktualisierungszeitpunkt:

job '994' (2014-07-30 13:23->2014-07-31 00:59) updated.

Gruß Jürgen
-- 
Mail: juergen at eisfair.org

Mehr Informationen über die Mailingliste Eisfair