Deutschsprachige CAcert Support Liste

[Winfried Purkhardt <winfried AT purkhardt.de>]

> Ich arbeite mit Thunderbird 1.5. Es sind sowohl das Class 1 als auch
> das Class 3 Root-Zertifikat von CAcert enthalten. Dabei sind bei
> beiden Zertifikate alle drei Vertrauenszwecke aktiviert (Webseiten,
> Mail, Software).
> 
> Nun erhalte ich eine Mail, dessen Absender sich ein Class 3
> Zertifikat von CAcert ausstellen lassen hat. Thunderbird behauptet,
> die digitale Unterschrift sei nicht gültig. "Das Zertifikat wurde von
> einer Zertifizierungsstelle herausgegeben, der Sie für diese Art von 
> Zertifikaten nicht vertrauen."
> 
> Klicke ich auf "Unterschriftszertifikat ansehen" steht unter 
> "Allgemein": "Dieses Zertifikat konnte aus unbekannten Gründen nicht 
> verifiziert werden."
> 
> Das verstehe ich nun nicht. Das Class 3 Root-Zertifikat ist vom Class
> 1 Root-Zertifikat unterschrieben worden. Damit müsste die
> Zertifikatskette doch vollständig sein. Warum /meckert/ Thunderbird?
> 
> Ich habe mir testweise die Mail mit Outlook Express 6.00.2900.2180 
> anzeigen lassen. OjE behauptet, die Signatur sei gültig. Ebenso war
> ein Test mit Evolution 2.4.1 erfolgreich. Allerdings zeigt Evolution
> die Zertifikate nicht als Kette, sondern als getrennte CAs an.
> 
> So langsam habe ich den Verdacht, dass Thunderbird einen Bug enthält.

Der Bug scheint sich zu bestätigen. Ursache ist das OCSP. Dort scheint
die Kommunikation fehlerhaft abzulaufen, so dass Thunderbird die
Gültigkeit des Zertifikats nicht verifizieren kann. Deaktiviert man
OCSP, treten die oben beschriebenen Fehler nicht mehr auf.