[Postfixbuch-users] TLS: Validierung Zertifikat bei Zertifikatskette

[Tobias Luithardt]

>Aber wie gesagt: Warum man der einen Verisign-CA nicht trauen kann,
>den anderen Verisign-CAs schon entzieht sich meinem Verständnis.
>(Wenn dann, würde ich ja eher _allen_ Verisign-CAs mistrauen.)

die einzelnen Sub-CAs geben teils verschieden stark validierte Zertifikate aus.
Ein Ziel kann zum Beispiel sein, nur (Sub-)CAs zu trauen, die nur EV Zertifkate ausstellen.


Aber dies wäre ja laut den vorangegangenen Tests nicht möglich,
da man ein Zertifkat nicht nur anhand einer Sub-Ca positiv prüfen kann,
wenn die ganze Kette mitgliefert wird.