[Eisfair] Lets Encrypt CAs

[Marcus Röckrath]

Hallo Stefan,

Stefan Heidrich wrote:

>> Ich habe mal das Zertifikat von fam-heidrich.net abgerufen.
> ich habe nochmal versucht das alles nachzustellen, kriegen den Fehler
> aber nicht mehr reproduziert.
> Jetzt läuft alles, egal ob ich das Mozilla-Bundle oder base-certificates
> installiere. Das Lets Encrypt Zertifikat ist allerdings zu neu als das
> es sich updaten lassen würde.

Ich hate schon geschieen, dass ich es reproduzieren kann.

Wenn man über die Funktionen des certs-Paketes z. B. nutzt das auch
mail-addon-certs ein letsencrypt-Zertifikat importiert, wird das
isrg_oot-x1 mit dem dst-signierten überschrieben, denn dieses steckt mit in
letsencrypt-Zertifikaten drin.

Das wird wohl auch so bleiben, denn damit versucht man Alt-Androiden, die
keine Zertifikatsupdates mehr bekommen, die Nutzung von mittels
letsencrypt-Zertifikaten veschlüsselten Seiten weiterhin zu ermöglichen.

Erstens müssen wir darüber nachdenken, wie wir zukünftig mit dem Import von
Zertifikaten umgehen.

Zweitens bin ich gespannt, ob der Spagat ab Oktober Nebenwirkungen zeigt.

Drittens wundere ich mich darüber, dass man unsichere Alt-Androide über
diese Krücke am Leben hält.

-- 
Gruß Marcus
[eisfair-Team]