[Eisfair] mail 1.17.2 - nach update -> keine locale mails mehr
Marcus Röckrath
marcus.roeckrath at gmx.de
Mi Feb 18 13:11:22 CET 2026
Hallo Jürgen,
Juergen Edner wrote:
>> Was ich meinte ist, ob es nicht möglich wäre für jedes Endzertifikat
>> eine eigene crl-Datei zu erstellen.
>> z.B.: zertifikat1.pem --> zertifikat1-crl.pem oder auch zertifikat1-
>> crl.ocsp (in /var/certs/ssl/crl)
>> zertifikat2 --> zertifikat2-crl.pem oder auch zertifikat2-crl.ocsp (in /
>> var/certs/ssl/crl)
>
> dies ist nicht möglich und widerspricht nach meinem Verständnis dem CRL
> Gedanken, welcher eine Datei pro Root-Zertifikat vorsieht. Dies war
> seinerzeit u.a. der Grund warum man OCSP präferierte um das
> Herunterladen großer CRL-Dateien zu vermeiden.
Genau; jede CA stellt GENAU EINE CRL-Liste als Zertifikatesdatei z. B.
crl.pem zur Verfügung.
Der Bezugspunkt muss aber ein beliebiger Client aus einem Serverzertifikat
auslesen können, was es aber in den vom eisfair erstellten Zertifikaten
genau dieser "Distribution Point" nicht enthalten ist; mal zum Vergleich,
die Endzertifikate von gmx, packeis und einem lokal erzeugten Zertifikat:
# /var/install/bin/certs-request-cert --simulate --certdetails --norehash
http pack-eis.de | grep -A 3 "CRL Distri"
X509v3 CRL Distribution Points:
Full Name:
URI:http://r13.c.lencr.org/15.crl
--
X509v3 CRL Distribution Points:
Full Name:
URI:http://x1.c.lencr.org/
# /var/install/bin/certs-request-cert --simulate --certdetails --norehash
pop3 pop.gmx.de | grep -A 3 "CRL Distri"
X509v3 CRL Distribution Points:
Full Name:
URI:http://crl.serverid.telesec.de/rl/Telekom_Security_ServerID_OV_Class_2_CA.crl
--
X509v3 CRL Distribution Points:
Full Name:
URI:http://grcl2.crl.telesec.de/rl/T-TeleSec_GlobalRoot_Class_2.crl
# /var/install/bin/certs-request-cert --simulate --certdetails --norehash
http localhost | grep -A 3 "CRL Distri"
--
Gruß Marcus
[eisfair-Team]
Mehr Informationen über die Mailingliste Eisfair