OCSP CAcert und Thunderbird

Am 24.09.2018, werden in der Zeit zwischen 21:00 Uhr und 09:00 Uhr des folgenden Tages Wartungsarbeiten am Server durchgeführt. Daher wird die Webseite in dieser Zeit nur eingeschränkt erreichbar sein.
  • Hallo,
    nach langem Lesen und tüfteln habe ich nun endlich Email-Zertifikate im Einsatz. Um genau zu sein habe ich mir bei CAcert für mein Unternehmen das Organisation-Zertifikat zugelegt.


    Funktioniert soweit auch alle so wie es soll. Nun habe ich mich ein wenig genauer in die Materie eingelesen. Interesant finde ich OCSP. In meinem Class 3 Zertifikat ist der URL zum CAcert OCSP-Server mit angegeben.


    Wenn ich nun in Thunderbird die Validierung über OCSP aktiviere (falls URL im Zertifikat vorhanden) werden die Zertifikate immer als nicht i.O. markiert obwohl die 100% gültig sind.


    Nach etwas genauerer Betrachtung des Zertifikats stellte ich fest das bei der URL Angabe des OCSP Links folgender angegeben ist:


    OCSP: URI: http://ocsp.cacert.org


    Sollte dort nicht URL stehen anstelle von URI?

  • Hi XadoX,


    obwohl ich mich schon ein paar Jährchen mit Thunderbird und auch mit X.509-Zertifikaten, S/MIME und auch OCSP-Respondern befasse, so muss ich doch zugeben, dass ich unseren TB noch nie in Verbindung mit einem OCSP-Responder betrieben habe.
    Und ich muss mich auch wirklich fragen, ob das für dich und für deinen Bedarf nicht vielleicht ein wenig "zu groß" ist.
    Was macht der OCSP? Bei der Zertifikatsprüfung einer jeden signierten Mail schickt der Client eine ebenfalls signierte Anfrage an den OCSP-Responder und fragt nach der Gültigkeit des Zertifikates. Die Antwort lautet "gültig", "ungültig" (gesperrt) oder "unbekannt". Soweit so gut. ABER: ein jeder OCSP-Responder kennt nur die Gültigkeit der durch die eigene CA herausgegebenen Zertifikate. Und die wenigsten Herausgeber von Zertifikaten betreiben OCSP-Responder. Du wirst also (erfahrungsgemäß!) überwiegend "unbekannt" erhalten. Glaube mir, das nervt!


    Sperrlisten und OCSP machen dann so richtig Sinn, wenn es sich um Qualifizierte Signaturen handelt. Aber diese betreffen ggw. ausschließlich Signaturen von Dokumenten. Qualifizierte Signaturen bei Mails sind nicht vorgesehen, da ja niemand weiß, mit welchem Mailclient der Empfänger arbeitet. Und es gehören eben auch bestimmte Anforderungen an die Anwendungen dazu.


    Und im Bereich der im Maildienst verwendeten so genannten "Fortgeschrittenen Signaturen" macht sich kaum jemand die Mühe, sein Zertifikat ordnentlich sperren zu lassen. Von den meistens verwendeten Zertifikaten für "Einfache Signaturen" ganz zu schweigen.


    Ich würde mir also wirklich überlegen, ob ich mir das antun will ... .
    Und: viele ZDA (Zertifikatsdiensteanbieter) arbeiten mit Sperrlisten (crl). Da habe ich mehrere in meinen TB eingetragen. Das klappt von großen bekannten ZDA bis zu meiner kleinen "Privat-ca" hervorragend. Auch mit automatischem Update usw.


    Zur URI: http://de.wikipedia.org/wiki/URI


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Wie immer vielen Dank für deine ausführlichen Erklärungen. OCSP ist für unserem Fall wirklich Overkill mit den CRL's funktioniert es auch sehr gut. Mich hat in erster Linie überhaupt die Funktion interessiert.


    Generell stoße ich seit der Einführung eines Zertifikats in meinem Mail Client sowieso auf kein gutes Feedback, alle meine Kontakte fragen mich immer zu "Ich bekomme eine komische Meldung beim öffnen ihrer Mail!" oder können diese aufgrund verschiedenster Sicherheitskonfigurationen garnicht erst öffnen.
    Aber egal irgendjemand muss ja anfangen :roll: Von daher bekommen nun alle Mitarbeiter bei uns ein Email Zertifikat welches zum Signieren der Mails verwendet wird.

  • > Aber egal irgendjemand muss ja anfangen
    Sehr lobenswert ... .
    Die gleichen Erfahrungen habe ich auch gemacht. Sowohl privat als auch beruflich. (Dies IST mein Beruf ... .) Die Leute wachen einfach nicht auf. Was da an ganzen Personalakten, Bewerbungen usw. offen übers Netz geht!


    Wir sprechen ja in D. schon einige jahre über das Signaturgesetz. Aber niemand spielt mit.
    Keiner kauft Zertifikate, weil keine Anwendungen und zu teuer => keine Anwendungen, weil keiner ein Zertifikat besitzt => zu teuer, weil keine Nachfrage => Keiner kauft ...
    Andere Länder sind uns da schon Lichtjahre voraus. Denke da an Belgien und Österreich, wo es die Bürgerkarten gibt. Die Menschen werden erst mitspielen, wenn sie zum einen (geldwerte!) Vorteile verspüren würden (Behördengang zu Fuß = 20 Teuronen, Behördengang online = 15 €), wenn es das Zeug als Massenprodukt wirklich zum Spottpreis gibt und wenn sich unter unseren Bürgern ein Sicherheitsbewusstsein herausbildet. Aber gerade letzteres kann dauern. Und so lange schicken wir die Bewerbungsmappe eben unverschlüsselt ... .


    Aber immerhin fangen wir schon mal an.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • "Peter_Lehmann" schrieb:

    viele ZDA (Zertifikatsdiensteanbieter) arbeiten mit Sperrlisten (crl). Da habe ich mehrere in meinen TB eingetragen. Das klappt von großen bekannten ZDA bis zu meiner kleinen "Privat-ca" hervorragend. Auch mit automatischem Update usw.


    Ich habe noch nie gehört, dass die automatischen Updates funktionieren.
    Wann immer man sich im Firefox oder Thunderbird die CRLs ansieht, steht ein Datum aus der Vergangenheit unter "Nächstes Update".
    siehe auch den Thread zum Firefox.


    Ich verwende tb 2.0.0.0 (20070326).

  • Dann muss ich wohl was falsch machen, denn bei mir funktioniert es ausgezeichnet.
    Funktioniert die manuelle Aktualisierung? Angezeigt wird das neue Datum übrigens erst, wenn du das crl-Fenster schließt und wieder öffnest. Ich rufe mehrere crl aller zwei Tage ab.


    Hier die vom Trustcenter Hamburg: http://www.trustcenter.de/crl/v2/tcclass1.crl


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Na ja, den Fehler kann ich bestätigen. In der Anzeige erscheint tatsächlich nur ein veraltetes Aktualisierungsdatum. Da ich aber bisher noch nie eine Zertifikatsprüfungsfehlermeldung erhalten habe bei empfangenen E-Mails, gehe ich einfach mal davon aus, das es ein einfacher Anzeigefehler ist.
    Wer etwas sichergehen möchte, verschwendet halt alle par Tage mal ein paar Sekunden, aktualisiert manuell die jeweiligen CRLs und ist glücklich über eine aktuelle Anzeige (Nach beendigen und Neuaufruf des Zertifikatsmanager)

  • Ich will das mit den crl bei unserer privaten Nutzung auch nicht überbewerten. Habe die crl-Überwachung auch nur aus lauter Spielerei aktiviert. Aber ich bestätige nochmals: bei mir funktioniert es ... .


    Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Sach ich ja, im Grunde genommen funzt es bei mir auch :-) Ich denke mal, dass der Anzeigefehler eher ein Profil-Mitschlepp-Problem ist. Ich hatte bisher nur keine Zeit (und werde auch in nächster Zeit keine Zeit haben) , ein neues Profil anzulegen um das zu checken.
    'Peter' weiß eventuell warum :-) (Stichwort Herkules, für Outsider: Ich bin noch auffe Arbeit)

  • "Peter_Lehmann" schrieb:

    Funktioniert die manuelle Aktualisierung? Angezeigt wird das neue Datum übrigens erst, wenn du das crl-Fenster schließt und wieder öffnest.

    manuell geht es bei mir auch. (Das neue Datum wird ebenfalls erst nach dem nächstem Fenster-öffnen angezeigt.)


    "Peter_Lehmann" schrieb:

    Hier die vom Trustcenter Hamburg: http://www.trustcenter.de/crl/v2/tcclass1.crl


    Ausser meinen Intranet-CAs nehme ich noch diese:
    https://www.cacert.org/revoke.crl
    https://secure.cacert.org/class3-revoke.crl
    http://crl.comodoca.com/AddTrustExternalCARoot.crl
    http://pki.eurodata.de/crls/eurodata-ca.crl
    http://pki.eurodata.de/crls/server-ca.crl
    http://cdp.pca.dfn.de/fh-gifb-ca/pub/crl/cacrl.crl


    "Heiggo" schrieb:

    Da ich aber bisher noch nie eine Zertifikatsprüfungsfehlermeldung erhalten habe bei empfangenen E-Mails, gehe ich einfach mal davon aus, das es ein einfacher Anzeigefehler ist.

    Ich habe zwei weitere Gründe, wieso ich glaube, dass meine CRLs nie automatisch besorgt werden:

    • im Apache-Log erkenne ich nur anfragen, wenn ich sie manuell gestartet habe.
    • die Dateien C:\Dokumente und Einstellungen\{username}\ Anwendungsdaten\ Thunderbird\ Profiles\ default\ vykg8jmh.slt\ cert8.dir\ bmp3YMClKvw+GEpEDUd5K9Gt4x0o= und bqjUnxNwgCJGmMadXurR7uTUZWoM= ändern ihren Zeitstempel nur nach manuellen Eingriffen.


    Und zwar obwohl der automatische Update alle "1" Tage durchgeführt werden soll.

    Einmal editiert, zuletzt von Anonymous ()

  • Ja, die beiden Gründe sind Beweis genug.
    Ich hatte vor langer Zeit mal einen Grund gehabt, die crl-Aktualisierung von einem Tag auf zwei Tage zu ändern. Weiß aber nicht mehr, warum ... .
    Schon mal mit zwei Tagen versucht?


    Ich habe gestern extra noch einmal nachgesehen, beide eingetragenen crl waren aktuell.
    Wie schon geschrieben, bei meinem ausschließlich privat genutzen TB haben die crl ja nur einen "Spieleffekt". Das mag bei dir anders sein.
    Auf Arbeit kann ich den TB leider nicht nutzen (wobei ich unser LoNo auch sehr ungern gegen TB austauschen würde ...). Dafür hätte ich zwei crl pro Tag zum Testen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo alle zusammen,


    malentin war so freundlich mich auf diesen Thread aufmerksam zu machen. Ich habe leider das gleiche Problem wie malentin (ich bin der domi in dem thread, auf den malentin verlinkt hat).
    Das manuelle Update stellt kein Problem dar (mit Ausnahme des bekannten Anzeigefehlers) aber das automatische Update will einfach nicht funktionieren. Um das zu überprüfen habe ich selber CRLs erstellt, die ich regelmäßig aktualisiere -> manuelles Update: ja; automatisches Update: nein.
    Ich habe den Firefox 2.0.0.3 (und Vorgänger) getestet, ebenso wie den Netscape 8.1 und den Seamonkey 1.1.1. Aufgrund des Threads hier habe ich auch angefangen mir den Thunderbird anzusehen. Erste Beobachtungen sprechen aber leider für das gleiche Ergebnis =(
    Ich habe keine Ahnung woran das liegen kann. Ich bin inzwischen dazu gekommen, den Internet Explorer 7 zu testen und muss zu meiner Überraschung sagen, dass dieser (fast) optimal funktioniert (in Bezug auf CRLs). Hier kann man zwar nicht sehen, ob die CRL aktuell ist aber man merkt es, wenn der IE7 einen vor einer aktuellen Sperrung des Zertifikates warnt.


    Hat irgendjemand eine Ahnung, was malentin und ich „falsch“ machen???
    Gruss domi

  • "Peter_Lehmann" schrieb:

    Schon mal mit zwei Tagen versucht?


    Am 6.6. habe ich alles auf zwei Tage umgestellt und noch immer das gleiche Problem.
    Sowohl in der Firma mit Proxy, als auch zu Hause ohne Proxy.
    Mein Thunderbird wurde seit der Version 0.9 immer aktualisiert, aber das scheint auch kein Grund zu sein, da domi TB wohl neu installiert hat.
    Vielleicht kannst Du per http://www.wireshark.org/ feststellen, wann die CRLs geladen werden?
    Noch bevor Du Dein Masterpasswort eingegeben hast?


    [edit 2007-07-06] ethereal durch wireshark ersetzt [/edit]

    Einmal editiert, zuletzt von Anonymous ()

  • Danke maletin,


    es ist ein schönes Gefühl unterstützt zu werden. ;)
    Vom Firefox fühle ich mich ein wenig hängengelassen; wie du siehst wurde der Bugreport im Februar aufgemacht und bislang kam keine Antwort dazu....


    Wie versprochen habe ich auch eine zeitlang den Thunderbird ausprobiert. Der ist auch mit den altern CRLs "zufrieden" und aktualisiert diese nicht. =(


    Peter : Das Tool, was maletin vorschlägt ist recht intuitiv zu bedienen. Wäre super, wenn du uns weiterhelfen könntest. Unter http://www.wireshark.org/ sollte -meinem Wissen nach- die Weiterentwicklung von Ethereal zu finden sein.


    Gruß domi