Signatur-Validierung mittels OCSP

  • Hallo,


    vorab die Thunderbird-Version: 3.0 - eingesetzt unter Ubuntu Linux 9.10


    Nun zum eigentlichen Thema/Problem:
    In unserer Firma werden Zertifikate eingesetzt, um den E-Mailverkehr zu signieren und zu verschlüsseln. Hinzukommen soll nun noch die Validierung der Zertifikate mittels OCSP.
    Dazu haben wir einen OCSP-Responder aufgesetzt, der diese Aufgabe übernehmen soll.
    Die Systemlandschaft stellt sich also wie folgt dar:
    Wir haben eine Root-CA, die die E-Mail-Zertifikate für unsere Mitarbeiter ausstellt. In diesen Zertifikaten ist explizit angegeben, dass sie für Signieren und Verschlüsseln von E-Mails vorgesehen sind. Daneben gibt es eine weitere CA, die genau ein Zertifikat ausstellt, das zum Signieren der OCSP-Responses des OCSP-Responders verwendet wird. Die beiden CAs sind unabhängig voneinander, d. h. sie sind nicht durch einen trust anchor miteinander verknüpft.


    Wenn ich nun die Service-URL unter Menü->Bearbeiten->Einstellungen->Erweitert->Zertifikate->Validierung->OCSP verwenden->2.Option: "Alle Zertifikate mittels des folgenden OCSP-Servers validieren:"


    eintragen möchte, tritt folgendes Verhalten ein. Der Service-URL *scheint* (!) nicht übernommen zu werden. Der zuvor eingegebene URL wird zwar beim erneuten Öffnen des Validierungs-Menüs nicht angezeigt, jedoch kommen bei einem Klick auf die Signierten E-Mails die Anfragen beim OCSP-Responder an und werden auch von diesem beantwortet. Unabhängig davon, welcher Status vom Responder gemeldet wird, begründet Thunderbird die der Fehlermeldung mit "Das Zertifikat, das Sie zum Unterschreiben der Nachricht verwendet haben, wurde von einer Zertifizierungsstelle herausgegeben, der Sie für diese Art von Zertifikaten nicht vertrauen".


    Diese Begründung ist aber (aus meiner Sicht) falsch. Woran kann das liegen? Welche Einstellungen müsste man ändern, damit das Ergebnis der Validierung korrekt begründet wird?
    BTW: Auf einem Windows XP-Rechner (32-Bit) habe ich noch Thunderbird 2.0.0.23 installiert. Ich habe dort exakt die gleichen Einstellungen wie im 3er Thunderbird unter Linux vorgenommen. Klicke ich dort auf eine signierte E-Mail im Posteingang, so wird noch nicht einmal eine Anfrage an den OCSP-Responder geschickt...
    Könnte es daher sein, dass die Signatur-Validierung mittels OCSP zumindest unter Thunderbird 2.0.* noch nicht ganz fehlerfrei funktioniert?


    Ich bin für jeden Rat dankbar.


    MfG.
    [Marc]

  • Hallo Marc,


    ich bin leider nicht der S/MIME - Spezialist! - Da gibt es weit bessere.
    {Auch kann ich das Szenario nicht nachstellen, mangels 'OCSP'. ;) }


    Hast Du Dir diese Seite schon mal angesehen? Evtl. hilft Dir auch die dortige mailing list. ;)


    Hast Du denn für Ubuntu 9.10 von hier selbst kompiliert [ist immerhin vom Jahr 2006!] oder war 'OCSP' bei eurer Ubuntu Distribution schon mit dabei?


    MfG ... Vic

  • Hi Marc,


    mir ist nicht verständlich, warum ihr für den ocsp-Responder eine eigene CA aufgesetzt habt.
    Wir signieren sowohl die crl als auch die ocsp-Antwort mit je einem Serverzertifikat, welches von der gleichen CA signiert wurde. Dieses Zertifikat unterschreibt ja im Auftrag genau dieser CA, dass die crl und auch die positiven Antworten stimmen.
    Versuchs mal damit.


    Ansonsten kann ich nur sagen, dass es bei mir mit TB2 mit ocsp funktioniert. Den TB3 nutze ich noch nicht.
    Der ocsp-Pfad ist in allen Nutzerzertifikaten eingetragen. Im TB ist eingestellt, dass er diesen Eintrag nutzen soll.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    der Grund für die 2. CA ist lediglich, dass wir für die Anwort des OCSP-Responders ein Zertifikat benötigen. Wir haben dafür keine 2. CA aufgesetzt, sondern das Zertifikat stammt lediglich von einer anderen CA als die Nutzerzertifikate.
    Da wir eine OCSP-Enterprise-Lösung anstreben kann dieses Zertifikat (das für die OCSP-Antworten) nicht in allen Nutzerzertifikaten eingetragen sein, da diese von unterschiedlichen CAs stammen können. Unser Ziel ist es also, eine einzige vertrauenswürdige Instanz in einem Unternehmen zu schaffen, an die Anfragen via OCSP gestellt werden können.
    Ich hoffe, dass das Szenario jetzt etwas besser verständlich ist.


    MfG.
    [Marc]