CRL automatisch abgefragt?

  • Hi,


    Nachdem ich den private Key für meinen Mailserver auf Debian erstellt habe, habe ich das Serverzertifikat nun revoked. Meine CA ist StartSSL.


    Mein Zertifikat ist bereits in die CRL Liste eingetragen.


    Die StartSSL CA Zertifikate sind in Thunderbird "builtin", darin befindet sich auch ein Attribut für eine URI zu den CRLs.


    Nun starte ich Thunderbird neu und verbinde zu meinem Server und erhalte trotzdem keine Fehlermeldung. Daher meine Frage: Fragt Thunderbird nicht automatisch die betreffenden CRLs ab?


    Falls doch, an was könnte es liegen dass ich dennoch keinen Zertifikatsfehler bekomme?


    lg,
    divB


    PS: TB2.0.0.14, WinXP

  • Hi,


    du hast die Quelle für die crl schon unter crl eingetragen?
    Er führt auch die Aktualisierung durch? (Also stimmt der Eintrag?)


    Ich habe es mit einer crl für TSL/SSL allerdings selbst noch nicht getestet. Was auf alle Fälle korrekt funktioniert, ist die Sperrung von Benutzerzertifikaten für S/MIME. Wenn ich mit einem auf crl befindlichen Userzertifikat verschlüsseln will oder eine (alte) Mail öffne, deren Zertifikat abgelaufen oder gesperrt ist, dann wird das exakt angezeigt bzw. das Verschlüsseln wird verhindert.
    Aber wie gesagt, für die Verschlüsselung der Verbindung kann ich nichst sagen. Ich bin mir noch nicht einmal sicher, ob das überhaupt vorgesehen ist.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Nein, in die CRL Liste hab ich nix eingetragen, deshalb hab ich in meiner Frage auch automatisch geschrieben.


    Mir gings darum, ob TB die CRLs der installierten CAs automatisch abfragt weil sonst hat das ganze IMHO wenig Sinn...


    lg,
    divB

  • Ist der crl-Verteilungspunkt im Zertifikat (richtig) eingetragen?
    Zumindest kann man bei ocsp die Variante eintragen, dass er dann automatisch auf den ocsp-Responder geht, wenn im Zertifikat ein solcher eingetragen ist. Das funktioniert auch, und ich nutze dies auch so. Bei crl ist dieser Punkt ja nicht extra als Möglichkeit angegeben. Ich glaube (habe es noch nicht überprüft) dass er ohne diesen Eintrag wohl kaum "von selbst" die Sperrliste holt. Bei eingetragenem Verteilungspunkt macht er es aber problemlos. Werde mir mal diesen Eintrag löschen und ein Zertifikat sperren. Mal sehen, ob er es merkt.


    Und noch was: Im ZertifikatManager sind etwas über 100 Herausgeber "von Hause aus" eingetragen. Wenn der TB diese bei jedem Start alle abklappern würde ... .
    Schon allein deswegen glaube ich nicht, dass er dies ohne einen entsprechenden Eintrag unter CRL automatisch macht.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Ok, vielen Dank für deine Antwort!


    Darauf hat sich eigentlich meine Frage bezogen, ob ers automatisch macht (weil wenn ich z.B. mein Zertifikat wiederufe das z.B. von GlobalSign ausgestellt wurde würde ich ja eigentlich wollen dass alle User die zum Mailserver verbinden das Zertifikat als ungültig sehen und nicht nur die denen ichs explizit sage...so hätte ichs halt als sinnvoll empfunden)


    Und er müsste ja auch nicht beim Start alle CRLs abklappern, sondern nur dann wenn zu einem verbunden wird wo es in der Chain vorkommt. Beispiel: Ich verbinde mich zu meinem Mailserver, der hat ein Zertifikat das von Globalsign ausgestellt wurde. Das letzte Zertifikat in der Chain ist ja als CA im TB standardmäßig drinnen. Und da bräuchte er sich eigentlich nur dann die CRL holen die in diesem Zertifikat drinnensteht.


    lg,
    divB