[Postfixbuch-users] TLS: Validierung Zertifikat bei Zertifikatskette

Tobias Luithardt tobias.luithardt at r1net.de
Do Mai 5 15:44:59 CEST 2011 

>> Nehmen wir einmal das Fortune500 Unternehmen Daimler(mail-in.daimler.com)
>> Wenn ich hier die RootCA(70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf)
>> hinterlege bekomme ich "Verify return code: 0 (ok)"
>>
>> Sobald ich aber die RootCA entferne und beide SubCAs
>> (6e:cc:7a:a5:a7:03:20:09:b8:ce:bc:f4:e9:52:d4:91 und 1b:09:3b:78:60:96:da:37:bb:a4:51:94:46:c8:96:78)
>> hinterlege, bekomme ich ein "19 (self signed certificate in certificate chain)"
                                   ^^^^^^^^^^^^^^^^^^^^^^^

>Das Problem ist, dass der Server auch das Root-CA-Zertifikat
>in der Kette mitliefert, es nach dem Entfernen aus
>/etc/ssl/certs aber nicht mehr verifiziert werden kann.

>> Könnt Ihr das auch so nachstellen?

>Ja. Das Zertifikat als solches wird aber korrekt verifiziert
>(wenn die Root-CA nicht in der Kette ist).

>--------------------------------------------------------------
> root at datengrab:~# echo quit | openssl s_client -CApath /etc/ssl/certs -starttls smtp -connect mail-in.daimler.com:25 2>&1 | grep 'Verify return code'
>     Verify return code: 0 (ok)
> root at datengrab:~# ls -l /etc/ssl/certs/7651b327.0
> lrwxrwxrwx 1 root root 59 29. Apr 16:41 /etc/ssl/certs/7651b327.0 -> Verisign_Class_3_Public_Primary_Certification_Authority.pem
> root at datengrab:~# rm /etc/ssl/certs/7651b327.0
> root at datengrab:~# echo quit | openssl s_client -CApath /etc/ssl/certs -starttls smtp -connect mail-in.daimler.com:25 2>&1 | grep 'Verify return code'
>     Verify return code: 19 (self signed certificate in certificate chain)
> root at datengrab:~# openssl verify -CAfile /tmp/VeriSign_Class_3_Secure_Server_CA.pem /tmp/mail-in.daimler.com.pem
> /tmp/mail-in.daimler.com.pem: OK
> root at datengrab:~# c_rehash
>--------------------------------------------------------------

ich habe mir mal ein Beispiel rausgesucht, bei dem die Kette nicht
mitgeliefert wird:
Ernst Young(em03.ey.com)

Folgende Kette ist hier gegeben:
em03.ey.com
73:65:12:bd:b5:53:eb:c2:62:63:88:1f:01:6e:f7:74

VeriSign Class 3 Secure Server CA - G3
6e:cc:7a:a5:a7:03:20:09:b8:ce:bc:f4:e9:52:d4:91

VeriSign Class 3 Public Primary Certification Authority - G5
1b:09:3b:78:60:96:da:37:bb:a4:51:94:46:c8:96:78

Class 3 Public Primary Certification Authority
70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf

Wenn ich jetzt hier die ROOT-CA in meinem Store entferne,
bekomme ich ein
Verify return code: 20 (unable to get local issuer certificate)

Dies würde doch bedeuten, dass es auch bei nicht mitgelieferte Kette es nicht möglich ist 
nur an Hand der Sub-CA(s) das Zertifkat em03.ey.com erfolgreich zu validieren?!

Mehr Informationen über die Mailingliste Postfixbuch-users