OCSP CAcert und Thunderbird

Hi XadoX,

obwohl ich mich schon ein paar Jährchen mit Thunderbird und auch mit X.509-Zertifikaten, S/MIME und auch OCSP-Respondern befasse, so muss ich doch zugeben, dass ich unseren TB noch nie in Verbindung mit einem OCSP-Responder betrieben habe.
Und ich muss mich auch wirklich fragen, ob das für dich und für deinen Bedarf nicht vielleicht ein wenig "zu groß" ist.
Was macht der OCSP? Bei der Zertifikatsprüfung einer jeden signierten Mail schickt der Client eine ebenfalls signierte Anfrage an den OCSP-Responder und fragt nach der Gültigkeit des Zertifikates. Die Antwort lautet "gültig", "ungültig" (gesperrt) oder "unbekannt". Soweit so gut. ABER: ein jeder OCSP-Responder kennt nur die Gültigkeit der durch die eigene CA herausgegebenen Zertifikate. Und die wenigsten Herausgeber von Zertifikaten betreiben OCSP-Responder. Du wirst also (erfahrungsgemäß!) überwiegend "unbekannt" erhalten. Glaube mir, das nervt!

Sperrlisten und OCSP machen dann so richtig Sinn, wenn es sich um Qualifizierte Signaturen handelt. Aber diese betreffen ggw. ausschließlich Signaturen von Dokumenten. Qualifizierte Signaturen bei Mails sind nicht vorgesehen, da ja niemand weiß, mit welchem Mailclient der Empfänger arbeitet. Und es gehören eben auch bestimmte Anforderungen an die Anwendungen dazu.

Und im Bereich der im Maildienst verwendeten so genannten "Fortgeschrittenen Signaturen" macht sich kaum jemand die Mühe, sein Zertifikat ordnentlich sperren zu lassen. Von den meistens verwendeten Zertifikaten für "Einfache Signaturen" ganz zu schweigen.

Ich würde mir also wirklich überlegen, ob ich mir das antun will ... .
Und: viele ZDA (Zertifikatsdiensteanbieter) arbeiten mit Sperrlisten (crl). Da habe ich mehrere in meinen TB eingetragen. Das klappt von großen bekannten ZDA bis zu meiner kleinen "Privat-ca" hervorragend. Auch mit automatischem Update usw.

Zur URI: http://de.wikipedia.org/wiki/URI

MfG Peter

> Aber egal irgendjemand muss ja anfangen
Sehr lobenswert ... .
Die gleichen Erfahrungen habe ich auch gemacht. Sowohl privat als auch beruflich. (Dies IST mein Beruf ... .) Die Leute wachen einfach nicht auf. Was da an ganzen Personalakten, Bewerbungen usw. offen übers Netz geht!

Wir sprechen ja in D. schon einige jahre über das Signaturgesetz. Aber niemand spielt mit.
Keiner kauft Zertifikate, weil keine Anwendungen und zu teuer => keine Anwendungen, weil keiner ein Zertifikat besitzt => zu teuer, weil keine Nachfrage => Keiner kauft ...
Andere Länder sind uns da schon Lichtjahre voraus. Denke da an Belgien und Österreich, wo es die Bürgerkarten gibt. Die Menschen werden erst mitspielen, wenn sie zum einen (geldwerte!) Vorteile verspüren würden (Behördengang zu Fuß = 20 Teuronen, Behördengang online = 15 €), wenn es das Zeug als Massenprodukt wirklich zum Spottpreis gibt und wenn sich unter unseren Bürgern ein Sicherheitsbewusstsein herausbildet. Aber gerade letzteres kann dauern. Und so lange schicken wir die Bewerbungsmappe eben unverschlüsselt ... .

Aber immerhin fangen wir schon mal an.

MfG Peter

Dann muss ich wohl was falsch machen, denn bei mir funktioniert es ausgezeichnet.
Funktioniert die manuelle Aktualisierung? Angezeigt wird das neue Datum übrigens erst, wenn du das crl-Fenster schließt und wieder öffnest. Ich rufe mehrere crl aller zwei Tage ab.

Hier die vom Trustcenter Hamburg: http://www.trustcenter.de/crl/v2/tcclass1.crl

MfG Peter

Na ja, den Fehler kann ich bestätigen. In der Anzeige erscheint tatsächlich nur ein veraltetes Aktualisierungsdatum. Da ich aber bisher noch nie eine Zertifikatsprüfungsfehlermeldung erhalten habe bei empfangenen E-Mails, gehe ich einfach mal davon aus, das es ein einfacher Anzeigefehler ist.
Wer etwas sichergehen möchte, verschwendet halt alle par Tage mal ein paar Sekunden, aktualisiert manuell die jeweiligen CRLs und ist glücklich über eine aktuelle Anzeige (Nach beendigen und Neuaufruf des Zertifikatsmanager)

Ich will das mit den crl bei unserer privaten Nutzung auch nicht überbewerten. Habe die crl-Überwachung auch nur aus lauter Spielerei aktiviert. Aber ich bestätige nochmals: bei mir funktioniert es ... .

Peter

Sach ich ja, im Grunde genommen funzt es bei mir auch Ich denke mal, dass der Anzeigefehler eher ein Profil-Mitschlepp-Problem ist. Ich hatte bisher nur keine Zeit (und werde auch in nächster Zeit keine Zeit haben) , ein neues Profil anzulegen um das zu checken.
'Peter' weiß eventuell warum (Stichwort Herkules, für Outsider: Ich bin noch auffe Arbeit)

Ja, die beiden Gründe sind Beweis genug.
Ich hatte vor langer Zeit mal einen Grund gehabt, die crl-Aktualisierung von einem Tag auf zwei Tage zu ändern. Weiß aber nicht mehr, warum ... .
Schon mal mit zwei Tagen versucht?

Ich habe gestern extra noch einmal nachgesehen, beide eingetragenen crl waren aktuell.
Wie schon geschrieben, bei meinem ausschließlich privat genutzen TB haben die crl ja nur einen "Spieleffekt". Das mag bei dir anders sein.
Auf Arbeit kann ich den TB leider nicht nutzen (wobei ich unser LoNo auch sehr ungern gegen TB austauschen würde ...). Dafür hätte ich zwei crl pro Tag zum Testen.

MfG Peter

Hallo alle zusammen,

malentin war so freundlich mich auf diesen Thread aufmerksam zu machen. Ich habe leider das gleiche Problem wie malentin (ich bin der domi in dem thread, auf den malentin verlinkt hat).
Das manuelle Update stellt kein Problem dar (mit Ausnahme des bekannten Anzeigefehlers) aber das automatische Update will einfach nicht funktionieren. Um das zu überprüfen habe ich selber CRLs erstellt, die ich regelmäßig aktualisiere -> manuelles Update: ja; automatisches Update: nein.
Ich habe den Firefox 2.0.0.3 (und Vorgänger) getestet, ebenso wie den Netscape 8.1 und den Seamonkey 1.1.1. Aufgrund des Threads hier habe ich auch angefangen mir den Thunderbird anzusehen. Erste Beobachtungen sprechen aber leider für das gleiche Ergebnis =(
Ich habe keine Ahnung woran das liegen kann. Ich bin inzwischen dazu gekommen, den Internet Explorer 7 zu testen und muss zu meiner Überraschung sagen, dass dieser (fast) optimal funktioniert (in Bezug auf CRLs). Hier kann man zwar nicht sehen, ob die CRL aktuell ist aber man merkt es, wenn der IE7 einen vor einer aktuellen Sperrung des Zertifikates warnt.

Hat irgendjemand eine Ahnung, was malentin und ich „falsch“ machen???
Gruss domi

Danke maletin,

es ist ein schönes Gefühl unterstützt zu werden.
Vom Firefox fühle ich mich ein wenig hängengelassen; wie du siehst wurde der Bugreport im Februar aufgemacht und bislang kam keine Antwort dazu....

Wie versprochen habe ich auch eine zeitlang den Thunderbird ausprobiert. Der ist auch mit den altern CRLs "zufrieden" und aktualisiert diese nicht. =(

Peter: Das Tool, was maletin vorschlägt ist recht intuitiv zu bedienen. Wäre super, wenn du uns weiterhelfen könntest. Unter http://www.wireshark.org/ sollte -meinem Wissen nach- die Weiterentwicklung von Ethereal zu finden sein.

Gruß domi