Skip to Content.
Sympa Menu

cacert-de - Re: Zertifikats-Widerruflisten (CRL)

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: Zertifikats-Widerruflisten (CRL)


Chronological Thread 
  • From: Werner Dworak <werner AT wombaz.de>
  • To: cacert-de AT lists.cacert.org
  • Subject: Re: Zertifikats-Widerruflisten (CRL)
  • Date: Sun, 31 May 2009 13:10:22 +0200
  • Openpgp: id=DF849576

Hallo Philipp,

> zum ordentlich funktionieren hatte ich CRLs eigentlich noch nirgends
> gebracht.

Schade.

> Aber ich schätze mal, dass sie Schwierigkeiten mit den Modem Usern 
> bekommen würden bei CRL Größen von 20 MB ...

Da könnte man doch die Leute warnen: "Sie benutzen ein Modem. Das
bedeutet lange Downloadzeiten der CRLs. Wollen Sie wirklich automatische
Updates aktivieren?"

> Meiner Meinung nach sind RFC konforme CRLs inzwischen ziemlich tot
> wegen der Skalierbarkeit.

Du meinst, die Downladzeiten der ganzen Listen sind für viele zu groß,
und Delta-CRLs oder wie auch immer klappen nicht recht?

> beim First-Contact tun sie das leider nicht.

Das geht doch grundsätzlich nicht anders, oder doch?

> (Und bis jetzt liefert noch kein Browser-Hersteller bei der Browser- 
> Installation auch gleich die zum damaligen Zeitpunkt verfügbaren CRLs
> mit)

Hmmm, könnte man nicht zumindest den Mozilla-Leuten das nahelegen?

> und nicht mit zufälligen Seriennummern kompatibel.

Was heißt "zufällig"? Nicht der Reihe nach vergeben? Das ist doch eine
Schwachstelle, die Nummern der Reihe nach zu vergeben!

> Naja, und dann wären wir bei OCSP.

Das tut bei mir auch nicht sauber. Bei Firefox kann ich es aktivieren
und es scheint zu gehen. Wenn ich aber bei Thunderbird OCSP einschalte,
dann bekomme ich Fehlermeldungen, wenn ich Mails signieren oder
verschlüsseln will.

> Das Problem ist insgesamt, dass die Software-Anbieter wesentlich mehr
>  Interesse an der Validierung der Zertifikate als am Widerruf der 
> Zertifikate haben. Weder bei X.509 noch bei OpenPGP findet man viel
> Interesse an skalierbaren, vertrauenswürdigen und verfügbaren
> Widerrufs-Infrastrukturen.

Das kann ich nicht recht verstehen. Um Zertifikate sinnvoll nutzen zu
können, muß ich doch wissen, welche Zertifikate gültig und welche
zurückgezogen sind. Sonst kann ich es doch gleich bleiben lassen!

Viele Grüße, Werner

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature




Archive powered by MHonArc 2.6.16.

Top of Page