[Gpg4win-users-de] Gültige Zertifikate? Oder doch nicht?

Klaus Krönert klaus at kroenert.email
Sa Jul 22 11:00:38 CEST 2023


Hallo,

Zertifiksate mit mehreren Verwendungszwecken, sind nicht ungewöhnlich. Ungewöhnlich wird es dann, wenn diese mit unterschiedlichen Ablaufdaten ausgesattet sind. Eigentlich mahct man das nicht und daher würde ich mich eher fragen, warum das Zertifikat für die verschiedenen Verwendungen, überhaupt unterschiedliche Ablaufdaten hat.

Grüße
Klaus


-----Ursprüngliche Nachricht-----
Von: Gpg4win-users-de <gpg4win-users-de-bounces at wald.intevation.org> Im Auftrag von Ingo Klöcker
Gesendet: Freitag, 21. Juli 2023 23:12
An: gpg4win-users-de at wald.intevation.org
Betreff: Re: [Gpg4win-users-de] Gültige Zertifikate? Oder doch nicht?

On Freitag, 21. Juli 2023 20:41:50 EEST Thomas Schweikle via Gpg4win-users-de
wrote:
> Folgende Beobachtung: ein öffentlicher Schlüssel enthält zwei
> Unterschlüssel. Der eine ist für beglaubigen, signieren und
> authorisieren markiert, der zweite ist für verschlüsseln.
> Der erste Unterschlüssel wird als gültig mit Ablaufdatum in 2024
> angezeigt. Der zweite Unterschlüssel als abgelaufen in 2022.
>
> In Kleopatra wird der Schlüssel insgesamt als gültig, mit Ablaufdatum
> in
> 2024 angezeigt. Versuche ich jetzt aber mit diesem Schlüssel eine Mail
> zu verschlüsseln, scheitere ich, weil GnuPG jetzt feststellt, dass der
> Schlüssel für verschlüsseln abgelaufen ist.
>
> Müsste dieser Schlüssel nicht irgendwie als mindestens teilweise
> abgelaufen in Kleopatra angezeigt werden? Zum verschlüsseln taugt er
> ja nicht mehr, wenn die Einstellungen equivalent zu VS-NfD vorgenommen
> wurden (oder gleich GnuPG-VS-Desktop eingesetzt wird ;-) )

Ja, sollte er, wird er aber derzeit nicht. Es gibt dazu schon ein Ticket auf dev.gnupg.org (https://dev.gnupg.org/T6109), in dem auch einige Ideen zur Darstellung erwähnt werden. Weitere Ideen als Kommentar zu dem Ticket sind willkommen.

Generell besteht ein Konflikt zwischen "Kleopatra soll einfach zu verwenden sein" und "Kleopatra soll auch fortgeschrittene Features wie Zertifikate mit verschiedenen Ablaufdaten unterstützen". Letzteres dürfte viele Nutzer komplett überfordern. Daher würde ich solche Zertifikate nur für die Kommunikation mit Experten verwenden. Im VS-NfD-Umfeld würde ich solche Zertifikate vermeiden.

Die anderen Kommentare lasse ich andere Personen beantworten.

Viele Grüße
Ingo


Mehr Informationen über die Mailingliste Gpg4win-users-de