Hallo Freunde der sicheren E-Mail!
Mit großem Erschrecken habe ich heute festgestellt, dass es im aktuellen TB (24.3.0) nicht mehr möglich ist, Sperrlisten (crl, nur interessant für User, welche ihre E-Mails mit S/MIME verschlüsseln) herunterzuladen und somit bei allen Mails auf ungültige Zertifikate zu prüfen.
(Ist mir aufgefallen, als ich nach einer Zertifikatssperrung bewusst das gesperrte Z. zum Test nutzen wollte. Dieses wurde erstmalig nicht bemängelt!)
An Stelle der bisherigen Möglichkeit, die Quellen der Sperrlisten einzutragen, werden wir jetzt nur noch nach der Prüfung mit Hilfe eines ocsp-Responders gefragt.
Selbstverständlich ist ocsp das bessere, schnellere und insgesamt "zeitgemäße" Protokoll. Nur, welches TrustCenter betreibt schon einen ocsp-Responder? Sperrlisten veröffentlichen alle nennenswerten TC.
Habe ich da irgend eine Ankündigung verpasst (oder überlesen)?
Weiß vlt. sogar jemand, ob das nur aus der GUI rausgepatcht ist, und vlt. sogar noch funktioniert? in about:config sind die von mir gemachten Einträge ja noch drin.
Sinn meiner Frage:
Ich veröffentliche für meine Privat-CA (oder besser für die vielen User, welche von mir Zertifikate beziehen) auf meiner Webseite u.a. auch sämtliche aktuellen Sperrlisten. In den Zertifikaten ist deren Pfad abgebildet, und der TB konnte bis zur 17.x ESR diese Sperrlisten automatisch herunterladen und die Zertifikate auf Sperrung überprüfen. (Ist zwar alles nicht "lebensnotwendig", aber wenn man schon verschlüsselt, dann bitte richtig.)
Jetzt muss ich mir Gedanken machen, wie ich einen (stromsparenden) ocsp-Responder einrichte ... .
Würde mich freuen, wenn ein Mozilla-Insider näheres weiß.
BTW: Eine ähnliche Frage, aber fokussiert auf den ocsp-Responder, werde ich auch im Linux-Club und vlt. auch in einem RasPi-Forum posten.
MfG Peter
