[Postfixbuch-users] TLS: Validierung Zertifikat bei Zertifikatskette

Tobias Luithardt tobias.luithardt at r1net.de
Fr Apr 29 16:24:19 CEST 2011


Hi Michael,

>>> kann man dieses Verhalten mit Postfix Mitteln verhindern?
>>> Also dass er nur einem Zertifikat vertraut, wenn auch die
>>> passende Sub-Ca hinterlegt ist?
>> D.h. Du vertraust der Root-CA nicht, die das Zertifikat für die "Sub-CA"
>> ausgestellt hat.
>>
>> Lösche das entsprechende Zertifikat der Root-CA in /etc/ssl/certs
>> (oder wo auch immer Deine libssl die Zertifikate aufbewahrt).
--> schrieb Mathias.
>> ich vertraue eigentlich nur der Sub-CA1, die stark validierte Zertifikate ausstellt:
>> ROOT-CA ->  Sub-CA1 ->  Zertifikat(starke Validierung)
>> ROOT-CA ->  Sub-CA2 ->  Zertifikat(schwache Validierung)
>>
>> Wenn ich jetzt der ROOT-CA vertraue - laut Pascal - vertraue ich auch Sub-CA2.
>> Dies möchte ich aber nicht.
>>
>> Ich möchte eigentlich nur der Kette
>> ROOT-CA ->  Sub-CA1
>> vertrauen.
>>
>> Ist dies möglich?
>Wie Mathias oben schon geschrieben hat: Vertrau nur Sub-CA1, aber nicht
>ROOT-CA. Eine Zertifikatskette kann man m.E. nicht unterbrechen.
können  wir dies vielleicht an einem Beispiel mal durchexerzieren?

Nehmen wir einmal das Fortune500 Unternehmen Daimler(mail-in.daimler.com)
Wenn ich hier die RootCA(70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf)
hinterlege bekomme ich "Verify return code: 0 (ok)"

Sobald ich aber die RootCA entferne und beide SubCAs 
(6e:cc:7a:a5:a7:03:20:09:b8:ce:bc:f4:e9:52:d4:91 und 1b:09:3b:78:60:96:da:37:bb:a4:51:94:46:c8:96:78)
hinterlege, bekomme ich ein "19 (self signed certificate in certificate chain)"

Könnt Ihr das auch so nachstellen?

Danke&Grüssle
Tobi



Mehr Informationen über die Mailingliste Postfixbuch-users