[Postfixbuch-users] TLS: Validierung Zertifikat bei Zertifikatskette
Mathias Jeschke
postfixbuch-users at gmj.cjb.net
Fr Apr 29 17:35:15 CEST 2011
Am 29.04.11 16:24, schrieb Tobias Luithardt:
> Nehmen wir einmal das Fortune500 Unternehmen Daimler(mail-in.daimler.com)
> Wenn ich hier die RootCA(70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf)
> hinterlege bekomme ich "Verify return code: 0 (ok)"
>
> Sobald ich aber die RootCA entferne und beide SubCAs
> (6e:cc:7a:a5:a7:03:20:09:b8:ce:bc:f4:e9:52:d4:91 und 1b:09:3b:78:60:96:da:37:bb:a4:51:94:46:c8:96:78)
> hinterlege, bekomme ich ein "19 (self signed certificate in certificate chain)"
^^^^^^^^^^^^^^^^^^^^^^^
Das Problem ist, dass der Server auch das Root-CA-Zertifikat
in der Kette mitliefert, es nach dem Entfernen aus
/etc/ssl/certs aber nicht mehr verifiziert werden kann.
Aber wie gesagt: Warum man der einen Verisign-CA nicht trauen kann,
den anderen Verisign-CAs schon entzieht sich meinem Verständnis.
(Wenn dann, würde ich ja eher _allen_ Verisign-CAs mistrauen.)
> Könnt Ihr das auch so nachstellen?
Ja. Das Zertifikat als solches wird aber korrekt verifiziert
(wenn die Root-CA nicht in der Kette ist).
--------------------------------------------------------------
> root at datengrab:~# echo quit | openssl s_client -CApath /etc/ssl/certs -starttls smtp -connect mail-in.daimler.com:25 2>&1 | grep 'Verify return code'
> Verify return code: 0 (ok)
> root at datengrab:~# ls -l /etc/ssl/certs/7651b327.0
> lrwxrwxrwx 1 root root 59 29. Apr 16:41 /etc/ssl/certs/7651b327.0 -> Verisign_Class_3_Public_Primary_Certification_Authority.pem
> root at datengrab:~# rm /etc/ssl/certs/7651b327.0
> root at datengrab:~# echo quit | openssl s_client -CApath /etc/ssl/certs -starttls smtp -connect mail-in.daimler.com:25 2>&1 | grep 'Verify return code'
> Verify return code: 19 (self signed certificate in certificate chain)
> root at datengrab:~# openssl verify -CAfile /tmp/VeriSign_Class_3_Secure_Server_CA.pem /tmp/mail-in.daimler.com.pem
> /tmp/mail-in.daimler.com.pem: OK
> root at datengrab:~# c_rehash
--------------------------------------------------------------
Mathias.
Mehr Informationen über die Mailingliste Postfixbuch-users