[Postfixbuch-users] TLS: Validierung Zertifikat bei Zertifikatskette

[Michael Köhler]

Hallo Tobias,

>> kann man dieses Verhalten mit Postfix Mitteln verhindern?
>> Also dass er nur einem Zertifikat vertraut, wenn auch die
>> passende Sub-Ca hinterlegt ist?
> D.h. Du vertraust der Root-CA nicht, die das Zertifikat für die "Sub-CA"
> ausgestellt hat.
>
> Lösche das entsprechende Zertifikat der Root-CA in /etc/ssl/certs
> (oder wo auch immer Deine libssl die Zertifikate aufbewahrt).
--> schrieb Mathias.
> ich vertraue eigentlich nur der Sub-CA1, die stark validierte Zertifikate ausstellt:
> ROOT-CA ->  Sub-CA1 ->  Zertifikat(starke Validierung)
> ROOT-CA ->  Sub-CA2 ->  Zertifikat(schwache Validierung)
>
> Wenn ich jetzt der ROOT-CA vertraue - laut Pascal - vertraue ich auch Sub-CA2.
> Dies möchte ich aber nicht.
>
> Ich möchte eigentlich nur der Kette
> ROOT-CA ->  Sub-CA1
> vertrauen.
>
> Ist dies möglich?
Wie Mathias oben schon geschrieben hat: Vertrau nur Sub-CA1, aber nicht 
ROOT-CA. Eine Zertifikatskette kann man m.E. nicht unterbrechen.

Gruß,
Michael