[Gpg4win-users-de] Kleopatra: Zertifikate werden erst spät angezeigt

Michael Ohlhus-Molthagen michael at molthagen.de
Do Aug 1 13:17:54 CEST 2013


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo Bernhard,

Am 01.08.2013 11:35, schrieb Bernhard Reiter:
> On Thursday 01 August 2013 at 10:18:25, Michael Ohlhus-Molthagen
> wrote:
>> Am 26.07.2013 09:20, schrieb Bernhard Reiter:
>>> -> die Sperrliste ist sehr lang und sie ändert sich sehr
>>> häufig. Das ist beides nicht optimal und das erzeugt erstmal
>>> mehrere MB Netzlast. Weiter analysiert habe ich das so weit
>>> erstmal nicht.
>> 
>> Es fällt mir als Laien eher schwer zu glauben, daß die 
>> CaCert-Sperrliste die Probleme verursacht (zumal sicher auch
>> viele andere Kleopatra-Benutzer CaCert-Zertifikate verwenden).
> 
> Wenn es wirklich so ist, wie ich nach wenigen Minuten Studiums 
> Deines Logs vermute, dann bin ich allerdings recht sicher, dass es
> hier ein systematisches Problem mit den CaCert-Sperrlisten Policy
> handelt.
Ein Problem gibt es, ja. Aber ich denke nicht, daß es nur an den
CaCert-Sperrlisten liegt, daß Kleopatra erst nach 1,5 Stunden zum
Leben erwacht.

Wie dem auch sei, ich habe jetzt KDE für Windows und Gpg4win komplett
deinstalliert und nach einem Neustart nur Gpg4win (mit allem außer dem
OL-Plugin und Claws Mail) wieder neu installiert. Nun werde ich nach
und nach wieder die Wurzelzertifikate der verschiedenen CAs in
Kleopatra einbinden und sehen, ob sich Probleme einstellen.

Mit meiner eigenen, mit XCA eingerichteten CA läuft es jedenfalls
schon einmal problemlos, aber da gibt es auch keine Sperrlisten, die
Kleopatra beachten müßte.

Und was CaCert betrifft, wäre es interessant zu wissen, ob auch andere
X.509er Probleme mit deren Sperrlisten haben - ich denke ja, daß doch
der eine oder andere Zertifikate von CaCert verwendet.


> Im Zweifel würde hier für jede Email, welche Du liest oder
> verschickst, vielleicht mit 5 _kB_,eine mehrere MB große Sperrliste
> geholt, die auch geparst werden muss. Das kann nicht richtig sein
> und wird im Zweifel immer dauern.
Ja, das sieht wirklich kaputt aus. Liegt das nun aber an CaCert oder
an meiner Konfiguration (darum würden mich ja Erfahrungen anderer
Benutzer mit CaCert-Zertifikaten interessieren, denn als Theologe weiß
ich: Auf einem einzelnen Bibelvers baut man keine Predigt auf).

Und ich kann mir bei doch nicht vorstellen, daß allein das den Start
von Kleopatra um mehr als 90 Minuten verzögern könnte.

> Konzeptuell legt bei X509 eigentlich eine Gültigkeitsdauer in den
> Sperrlisten fest, die müsste bei so großen Sperrlisten eigentlich
> länger sein, vielleicht 12 oder 24 Stunden. Weiterhin denke ich
> nicht, dass es wirklich kompromitierte Zertfikate sind, sondern
> vielleicht sperren die auch abgelaufende. Das ist aber eigentlich
> nicht nötig. Warum dann nicht einfach mehr Zwischenzertifikate
> nutzen, machte die Sperrliste auch deutlich kleiner
Klingt so, als sollte man sich einmal mit CaCert auseinandersetzen und
fragen, was die eigentlich machen.

> Dann gäbe es noch die Möglichkeit der Online-Einzelabfrage nach
> OSCP, das müsste CaCert erstmal anbieten und es hat
> Privatspärenproblem, da ja bekannt wird, welchen Zertifikat geprüft
> wird, jedes Mal.
Ja, das sehe ich auch als großes Problem.

> ...

>> Derzeit habe ich die Kontrolle der Sperrlisten deaktiviert, und 
>> Kleopatra startet problemlos. Das mit den Sperrlisten möchte ich 
>> natürlich eher früher als später in den Griff bekommen.
> 
> Es gibt da sicherlich noch andere Möglichkeiten mit dem oben
> beschriebenen konzeptuellen Problemen umzugehen.

Ich hoffe, daß die Deinstallation von KDE für Windows und die
Neuinstallation von Gpg4win etwas bringt. Und es könnte natürlich rein
theoretisch vielleicht auch immer noch sein Problem mit einer anderen
Software sein - Virenscanner (Avira) , Firewall... oder auch mit dem
Netzwerk oder der Fritz!Box.

Danke auf jeden Fall für alle Tipps und Hinweise :-)


Grüßle

Michael
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.20 (MingW32)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iEYEARECAAYFAlH6Q+IACgkQa/aBiEEftaxQswCffjUciQ6Ac1+yQtVUjxnqfsey
E4sAn2dNebwP/RrySRY4GV+M9euvq2O8
=9koU
-----END PGP SIGNATURE-----



Mehr Informationen über die Mailingliste Gpg4win-users-de