schokokeks.org

Hosting

StartSSL und OCSP

Di, 12. Nov 2013 - 12:11, CC by-sa

Heute früh war für einige Stunden unser Mailserver für Thunderbird-Nutzer nicht erreichbar. Alleine die Suche nach der Ursache hat uns einige Zeit gekostet, leider mit dem Ergebnis, dass wir nichts beschleunigen können.

Hintergrund: Es gibt eine Funktion, mit der ein Client (Mailprogramm, Browser) online abfragen kann ob ein bestimmtes SSL-Zertifikat jetzt grade gültig ist oder ob es beispielsweise gesperrt wurde. Diese Funktion nennt sich OCSP.

Unsere Zertifikate sind über StartSSL ausgestellt, dort wird OSCP angeboten. Das finden wir generell auch eine sinnvolle Sache. Was uns heute zum Verhängnis wurde, ist die Tatsache dass der OCSP-Server von StartSSL leider erst mehrere Stunden nach dem Ausstellen eines Zertifikats von diesem erfährt. Daher wird ein Zertifikat, das neu und eigentlich sofort gültig ist, zunächst noch als Unbekannt abgelehnt.

Thunderbird kommuniziert dieses Problem dem Benutzer gar nicht sondern meldet, dass der Server das gewählte Authentifizierungsverfahren nicht unterstützt und fordert zu einer Änderung in den Kontoeinstellungen auf. Dies bringt aber natürlich nichts.

Dieses Problem kann auch Website-Betreiber treffen, wenn man eine Website mit einem StartSSL-Zertifikat absichern möchte und dieses unmittelbar nach dem Unterzeichnen einsetzt. Allerdings zeigt Firefox eine sachdienliche Fehlermeldung an.