Keine crl-Prüfung mehr?

  • Hallo Freunde der sicheren E-Mail!


    Mit großem Erschrecken habe ich heute festgestellt, dass es im aktuellen TB (24.3.0) nicht mehr möglich ist, Sperrlisten (crl, nur interessant für User, welche ihre E-Mails mit S/MIME verschlüsseln) herunterzuladen und somit bei allen Mails auf ungültige Zertifikate zu prüfen.
    (Ist mir aufgefallen, als ich nach einer Zertifikatssperrung bewusst das gesperrte Z. zum Test nutzen wollte. Dieses wurde erstmalig nicht bemängelt!)


    An Stelle der bisherigen Möglichkeit, die Quellen der Sperrlisten einzutragen, werden wir jetzt nur noch nach der Prüfung mit Hilfe eines ocsp-Responders gefragt.
    Selbstverständlich ist ocsp das bessere, schnellere und insgesamt "zeitgemäße" Protokoll. Nur, welches TrustCenter betreibt schon einen ocsp-Responder? Sperrlisten veröffentlichen alle nennenswerten TC.


    Habe ich da irgend eine Ankündigung verpasst (oder überlesen)?
    Weiß vlt. sogar jemand, ob das nur aus der GUI rausgepatcht ist, und vlt. sogar noch funktioniert? in about:config sind die von mir gemachten Einträge ja noch drin.


    Sinn meiner Frage:
    Ich veröffentliche für meine Privat-CA (oder besser für die vielen User, welche von mir Zertifikate beziehen) auf meiner Webseite u.a. auch sämtliche aktuellen Sperrlisten. In den Zertifikaten ist deren Pfad abgebildet, und der TB konnte bis zur 17.x ESR diese Sperrlisten automatisch herunterladen und die Zertifikate auf Sperrung überprüfen. (Ist zwar alles nicht "lebensnotwendig", aber wenn man schon verschlüsselt, dann bitte richtig.)
    Jetzt muss ich mir Gedanken machen, wie ich einen (stromsparenden) ocsp-Responder einrichte ... .


    Würde mich freuen, wenn ein Mozilla-Insider näheres weiß.
    BTW: Eine ähnliche Frage, aber fokussiert auf den ocsp-Responder, werde ich auch im Linux-Club und vlt. auch in einem RasPi-Forum posten.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Nö ...
    Ich hatte mir mal einen ocsp-Responder auf dem RasPi installiert, funktioniert auch. Aber meine beiden RasPi und mein NAS sollen mal schön hinter meinem Kryptogateway in meinem "roten Netz" bleiben. Bei mir wird nichts ins I-Net gestellt. Und somit wäre auch der oscp-Responder nur für mich erreichbar. Und ich weiß ja schließlich, welche Zertifikate ich gesperrt habe ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!