CRLs in S/MIME zertifikaten

  • Hallo,


    wertet Thunderbird automatisch CRLs aus, die in S/MIME Zertifikaten eingebettet sind?


    Philipp

  • Eine gute Frage... auf die allerdings offenbar keine(r) eine wirkliche Antwort hat. Man könnte nun per sniffing testen, ob beim Versand einer verschlüsselten und/oder signierten E-Mail auf die im Zertifikat benannte CRL-Adresse ein Zugriff erfolgt.
    Man könnte aber auch ein Zertifikat für eine weitere Adresse beim ZDA anfordern, dieses gleich wieder sperren lassen und somit prüfen, ob die CRL automatisch abgeprüft wird. Man kann aber auch die CRL im Zertifikatsmanager integrieren und sich nicht mehr darum kümmern, ob das nun auf Grund der benannten CRL im Zertifikat automatisch, oder auf Grund der Integration im CertMgr geprüft wird :-)


    Gruß aus Stuttgart


    Heiggo

  • Hi Philipp,


    und willkommen im Forum.
    Habe deinen Beitrag jetzt erst gesehen ... .


    Ja, Thunderbird wertet crl aus.
    Ich habe selbst mehrere crl eingetragen und es funktioniert problemlos.
    Es kommt dann zwar nicht die korrekte Fehlermeldung, dass das Zertifikat gesperrt ist, sondern verwirrenderweise, dass du dieser Zertifizierungsstelle nicht vertraust, aber damit kann man leben (wenn man es weiß ...). Selbstverständlich werden dann trotzdem nicht_zurückgezogene Zertifikate dieser ca als gültig anerkannt :-)

    Aber:
    Was leider nicht funktioniert (oder besser: nicht zuverlässig funktioniert), ist das _automatische_ Update der crl. Manuell funktioniert es natürlich.
    Das kann zu Problemen führen wenn eine ca alle 12 Stunden und schneller eine neue crl herausgibt ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!