• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

OCSP-Responder [erledigt]

/dev/null

Moderator
Teammitglied
Hallo Freunde der sicheren E-Mail! (Ja, es geht auch darum!)

Mit großem Erschrecken habe ich heute festgestellt, dass es im aktuellen TB (V. 24.3.0) nicht mehr möglich ist, Sperrlisten (crl, nur interessant für User, welche ihre E-Mails mit S/MIME verschlüsseln) herunterzuladen und somit bei allen Mails automatisch auf ungültige Zertifikate zu prüfen.
(Ist mir aufgefallen, als ich nach einer Zertifikatssperrung bewusst das gesperrte Z. zum diesbezüglichen Test nutzen wollte. Dieses wurde erstmalig nach vielen Jahren nicht bemängelt!)

An Stelle der bisherigen Möglichkeit, die Quellen der Sperrlisten einzutragen, werden wir jetzt nur noch nach der Prüfung mit Hilfe eines ocsp-Responders gefragt.
Selbstverständlich ist ocsp das bessere, schnellere und insgesamt "zeitgemäße" Protokoll. Nur, welches TrustCenter betreibt schon einen ocsp-Responder? Sperrlisten veröffentlichen alle nennenswerten TC.


Sinn meiner Frage:
Ich veröffentliche für meine Privat-CA (oder besser für die vielen User, welche von mir Zertifikate beziehen) auf meiner Webseite u.a. auch sämtliche aktuellen Sperrlisten. In den Zertifikaten ist deren Pfad abgebildet, und der TB konnte bis zur 17.x ESR diese Sperrlisten automatisch herunterladen und die Zertifikate auf Sperrung überprüfen. (Ist zwar alles nicht "lebensnotwendig", aber wenn man schon verschlüsselt, dann bitte richtig!)

Jetzt muss ich mir Gedanken machen, wie ich einen (stromsparenden) ocsp-Responder einrichte ... .
Dabei denke ich natürlich zuerst einmal an einen RasPi als Hardwarebasis. Aber meine Suche sowohl unter Debian als auch unter Raspian waren bislang erfolglos.
Klar ist OCSP eine Nischenanwendung, aber vlt kennt sich doch einer von euch hier aus damit. (Der ocsp-Responder @work läuft leider auf einer WinDOSe und ist auch noch von seinem Hersteller lizensiert und verdongelt)

BTW: Eine ähnliche Frage, aber fokussiert auf den Thunderbird habe ich >> hier << schon gepostet. Ich werde auch noch einmal in einem RasPi-Forum fragen.

Würde mich über Informationen sehr freuen.

MfG Peter
 

TomcatMJ

Guru
https://pki.openca.org/projects/ocspd/ beziehungsweise https://pki.openca.org/projects/ocspd/downloads.shtml ist dir bei bisherigen Suchen noch nicht über den Weg gelaufen? Es sollte damit doch machbar sein das Ganze auf einer x-beliebigen Hardwareplattform unter Linux, unter Solaris oder MacOSX laufen zu lassen da ja der Quellcode verfügbar ist.
 
OP
/dev/null

/dev/null

Moderator
Teammitglied
Oh, Danke.
Gesehen habe ich das schon, aber wohl nicht richtig gelesen. Ich hatte herausgelesen, dass ich da die komplette openCA installieren muss, und das wollte ich nicht.
Dann will ich das mal auf meinem RasPi installieren.

MfG Peter
 
Oben