[Gpg4win-users-de] Kleopatra: Zertifikate werden erst spät angezeigt

[Bernhard Reiter]

On Thursday 01 August 2013 at 10:18:25, Michael Ohlhus-Molthagen wrote:
> Am 26.07.2013 09:20, schrieb Bernhard Reiter:
> > -> die Sperrliste ist sehr lang und sie ändert sich sehr häufig.
> > Das ist beides nicht optimal und das erzeugt erstmal mehrere MB
> > Netzlast. Weiter analysiert habe ich das so weit erstmal nicht.
>
> Es fällt mir als Laien eher schwer zu glauben, daß die
> CaCert-Sperrliste die Probleme verursacht (zumal sicher auch viele
> andere Kleopatra-Benutzer CaCert-Zertifikate verwenden).

Wenn es wirklich so ist, wie ich nach wenigen Minuten Studiums
Deines Logs vermute, dann bin ich allerdings recht sicher, dass
es hier ein systematisches Problem mit den CaCert-Sperrlisten Policy handelt.
Im Zweifel würde hier für jede Email, welche Du liest oder verschickst,
vielleicht mit 5 _kB_,eine mehrere MB große Sperrliste geholt, die auch 
geparst werden muss. Das kann nicht richtig sein und wird im Zweifel immer 
dauern.

Konzeptuell legt bei X509 eigentlich eine Gültigkeitsdauer in den Sperrlisten 
fest, die müsste bei so großen Sperrlisten eigentlich länger sein, vielleicht
12 oder 24 Stunden. Weiterhin denke ich nicht, dass es wirklich kompromitierte 
Zertfikate sind, sondern vielleicht sperren die auch abgelaufende. Das ist 
aber eigentlich nicht nötig. Warum dann nicht einfach mehr 
Zwischenzertifikate nutzen, machte die Sperrliste auch deutlich kleiner

Dann gäbe es noch die Möglichkeit der Online-Einzelabfrage nach OSCP, das 
müsste CaCert erstmal anbieten und es hat Privatspärenproblem, da ja bekannt 
wird, welchen Zertifikat geprüft wird, jedes Mal.

(Oh, hier zeigt sich ein Vorteil von OpenPGP, aber da sind die Sperrinfo
auch nicht so schnell rum, wenn nicht abgefragt wird. Also doch eher Steed
mit abgesichertem DNS. ;))

> Das Problem liegt, wie ich fürchte, woanders versteckt.
>
> Derzeit habe ich die Kontrolle der Sperrlisten deaktiviert, und
> Kleopatra startet problemlos. Das mit den Sperrlisten möchte ich
> natürlich eher früher als später in den Griff bekommen.

Es gibt da sicherlich noch andere Möglichkeiten mit dem oben beschriebenen 
konzeptuellen Problemen umzugehen. 



-- 
www.intevation.de/~bernhard (CEO)    www.fsfe.org (Founding GA Member)
Intevation GmbH, Osnabrück, Germany; Amtsgericht Osnabrück, HRB 18998
Owned and run by Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 490 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.wald.intevation.org/pipermail/gpg4win-users-de/attachments/20130801/c6796e1d/attachment.sig>