[Eisfair] mail 1.17.2 - nach update -> keine locale mails mehr
Marcus Röckrath
marcus.roeckrath at gmx.de
Mi Feb 18 09:13:41 CET 2026
Hallo Helmut,
Helmut Pohl wrote:
> Was ich meinte ist, ob es nicht möglich wäre für jedes Endzertifikat
> eine eigene crl-Datei zu erstellen.
> z.B.: zertifikat1.pem --> zertifikat1-crl.pem oder auch
> zertifikat1-crl.ocsp (in /var/certs/ssl/crl)
> zertifikat2 --> zertifikat2-crl.pem oder auch zertifikat2-crl.ocsp (in
> /var/certs/ssl/crl)
Es gibt pro CA genau eine CRL-Datei, OCSP stirbt gerade, die eine komplette
Liste aller jemals von der CA unterzeichneten und zurückgezogenen
Zertifikate
enthält. Die heisst bei uns
/ver/certs/ssl/crl/<domain_der_ca>-crl.pem
und wird über die vorhandene Webseite des certs-Paketes als crl.pem
angeboten.
Im Zertifikat sollte die zugehörige URL stehen:
URI:http://<domain_der_ca>/certs/crl.pem
was derzeit nicht der Fall ist.
z. B. steht in einem von LetsEncrypt erteilten Zertifikat immer
X509v3 CRL Distribution Points:
Full Name:
URI:http://x1.c.lencr.org/
was die URL der CRL-Liste von Lets Encrypt ist.
Jeder Client der nun prüfen möchte, ob ein bestimmtes Zertifikat noch gültig
ist, downloadet diese Datei und schaut darin nach.
> Ja, das wäre vermutlich das, was ich s.o. meinte.
Gut möglich, jedenfalls ist das so allgemein festgelegt.
> Was sagt Jürgen dazu?
Jürgen hat noch alte Zertifikate auf seinem System gefunden, die die CRL-URL
noch drin haben, das muss also irgendwann unbemerkt verloren gegangen sein
und
suchen gerade, welche Änderung das bewirkt hat bzw. was wir an openssl.cnf
ändern müssen, damit es wieder geht.
--
Gruß Marcus
[eisfair-Team]
Mehr Informationen über die Mailingliste Eisfair