Discussion:
Mail-Adressen löschen - Zertifikate revoked
Matthias Bergt
2015-10-04 09:35:48 UTC
Permalink
Hallo beisammen,

ich habe gerade mal ein wenig meinen Account entmüllt und nicht mehr
genutzte E-Mail-Adressen aus der Liste gelöscht.

Als Folge habe ich eine große Menge an Bestätigungsmails bekommen,
dass diverse Zertifikate auf meinen Wunsch hin widerrufen worden
seien. Das bezieht sich nicht nur auf die E-Mail-Adressen, die ich
gelöscht habe, sondern auch auf andere.

Dass Zertifikate widerrufen werden, die *auch* die gelöschten
E-Mail-Adressen beinhalten, kann ich nachvollziehen, auch wenn ich mir
eine entsprechende Warnung vorher gewünscht hätte.

Dass aber *sämtliche* Zertifikate einer E-Mail-Adresse widerrufen
werden, die mal irgendwo zusammen mit einer der gelöschten Adressen in
einem Zertifikat auftauchen, auch wenn keine der gelöschten
E-Mail-Adressen in dem jeweiligen Zertifikat enthalten sind, halte ich
für einen Bug, oder?

(Falls jemand das nachvollziehen will, ein Beispiel: 01:10:FA.)

Gruß
Matthias



- --
"Ich möchte klarstellen, dass Sie natürlich damit rechnen müssen, dass
jeder, der offen kommuniziert, abgehört wird."

August Hanning, von 1998 bis 2005 Präsident des
Bundesnachrichtendienstes (BND), im NSA-Untersuchungsausschuss des
Bundestags am 2.10.2015
S. H.
2015-10-08 08:44:01 UTC
Permalink
Matthias Bergt wrote on 04.10.2015 11:35:
> Dass aber*sÀmtliche* Zertifikate einer E-Mail-Adresse widerrufen
> werden, die mal irgendwo zusammen mit einer der gelöschten Adressen in
> einem Zertifikat auftauchen, auch wenn keine der gelöschten
> E-Mail-Adressen in dem jeweiligen Zertifikat enthalten sind, halte ich
> fÃŒr einen Bug, oder?

Kann ich mir eigentlich auch nicht vorstellen, dass das so gewollt ist.
Überhaupt halte ich es nicht fÃŒr richtig, dass ÃŒberhaupt Zertifikate
ungefragt widerrufen werden, solange es ÃŒber die Mailadresse keinen
Dispute gibt. Die Zertifikate sind dadurch ja nicht kompromittiert, es
wÃŒrde also reichen, dass keine neuen mehr mit dieser Adresse erstellt
werden können.
Stefan Thode
2015-10-15 18:45:18 UTC
Permalink
Hallo an die Liste,
wird eine Email-Adresse aus dem Account gelöscht, werden ALLE
Zertifikate, in denen diese Email-Adresse eingeschlossen wurde revoked.
Das ist kein Bug, sondern volle Absicht.
Das die Kontrolle ÃŒber die Adresse aufgegeben wurde, darf auch die
Möglichkeit der Signatur mit dieser Adresse nicht mehr bestehen.

Gruß
Stefan


Am 08.10.2015 um 10:44 schrieb S. H.:
> Matthias Bergt wrote on 04.10.2015 11:35:
>> Dass aber*sÀmtliche* Zertifikate einer E-Mail-Adresse widerrufen
>> werden, die mal irgendwo zusammen mit einer der gelöschten Adressen in
>> einem Zertifikat auftauchen, auch wenn keine der gelöschten
>> E-Mail-Adressen in dem jeweiligen Zertifikat enthalten sind, halte ich
>> fÃŒr einen Bug, oder?
>
> Kann ich mir eigentlich auch nicht vorstellen, dass das so gewollt
> ist. Überhaupt halte ich es nicht fÃŒr richtig, dass ÃŒberhaupt
> Zertifikate ungefragt widerrufen werden, solange es ÃŒber die
> Mailadresse keinen Dispute gibt. Die Zertifikate sind dadurch ja nicht
> kompromittiert, es wÃŒrde also reichen, dass keine neuen mehr mit
> dieser Adresse erstellt werden können.
>

--

Mit freundlichen Gruessen / best Regards

Stefan Thode
CAcert Assurer
CAcert.org - Free Certificates
E-Mail: ***@cacert.org
S. H.
2015-10-15 18:49:30 UTC
Permalink
Stefan Thode wrote on 15.10.2015 20:45:
> werden ALLE
> Zertifikate, in denen diese Email-Adresse eingeschlossen wurde revoked.


Laut Thread-Ersteller wurden aber auch Zertifikate in denen NUR eine
andere Adresse enthalten war widerrufen, sofern diese andere Adresse
jemals mit der entfernten Adresse in einem (anderen) kombinierten
Zertifikat enthalten war.
Stefan Thode
2015-10-15 19:02:08 UTC
Permalink
Der Absatz von Matthias:

*****
Dass aber*sÀmtliche* Zertifikate einer E-Mail-Adresse widerrufen
werden, die mal irgendwo zusammen mit einer der gelöschten Adressen in
einem Zertifikat auftauchen, auch wenn keine der gelöschten
E-Mail-Adressen in dem jeweiligen Zertifikat enthalten sind, halte ich
fÃŒr einen Bug, oder?
*****

sagt es nicht eindeutig aus. Die Frage ist ein wenig kompliziert gestellt.
Wir können hier ohne Matthias nur spekulieren.

Es wird gerade im Moment durch jemand aus dem Software Team kontrolliert!

Gruß
Stefan



Am 15.10.2015 um 20:49 schrieb S. H.:
>
>
> Stefan Thode wrote on 15.10.2015 20:45:
>> werden ALLE
>> Zertifikate, in denen diese Email-Adresse eingeschlossen wurde revoked.
>
>
> Laut Thread-Ersteller wurden aber auch Zertifikate in denen NUR eine
> andere Adresse enthalten war widerrufen, sofern diese andere Adresse
> jemals mit der entfernten Adresse in einem (anderen) kombinierten
> Zertifikat enthalten war.
>

--

Mit freundlichen Gruessen / best Regards

Stefan Thode
CAcert Assurer
CAcert.org - Free Certificates
E-Mail: ***@cacert.org
Stefan Thode
2015-10-15 19:26:40 UTC
Permalink
Es konnte kein Bug gefunden werden.
Das SQL Statement sucht gezielt nach Zertifikaten, in die die
aufgegebene Email-Adresse einbezogen wurde.

Gruß
Stefan


Am 15.10.2015 um 21:02 schrieb Stefan Thode:
> Der Absatz von Matthias:
>
> *****
> Dass aber*sÀmtliche* Zertifikate einer E-Mail-Adresse widerrufen
> werden, die mal irgendwo zusammen mit einer der gelöschten Adressen in
> einem Zertifikat auftauchen, auch wenn keine der gelöschten
> E-Mail-Adressen in dem jeweiligen Zertifikat enthalten sind, halte ich
> fÃŒr einen Bug, oder?
> *****
>
> sagt es nicht eindeutig aus. Die Frage ist ein wenig kompliziert
> gestellt.
> Wir können hier ohne Matthias nur spekulieren.
>
> Es wird gerade im Moment durch jemand aus dem Software Team kontrolliert!
>
> Gruß
> Stefan
>
>
>
> Am 15.10.2015 um 20:49 schrieb S. H.:
>>
>>
>> Stefan Thode wrote on 15.10.2015 20:45:
>>> werden ALLE
>>> Zertifikate, in denen diese Email-Adresse eingeschlossen wurde revoked.
>>
>>
>> Laut Thread-Ersteller wurden aber auch Zertifikate in denen NUR eine
>> andere Adresse enthalten war widerrufen, sofern diese andere Adresse
>> jemals mit der entfernten Adresse in einem (anderen) kombinierten
>> Zertifikat enthalten war.
>>
>

--

Mit freundlichen Gruessen / best Regards

Stefan Thode
CAcert Assurer
CAcert.org - Free Certificates
E-Mail: ***@cacert.org
Jörg
2015-10-16 08:21:07 UTC
Permalink
<html><head></head><body><div style="font-family: Verdana;font-size: 12.0px;"><div>
<div>Das ist aber nicht ganz durchdacht. Wenn ich die Kontrolle abgebe, hei&szlig;t das nicht, dass die Adresse bei CACert gel&ouml;scht wird. Genau so wenig muss das L&ouml;schen bei CACert bedeuten, dass man die Kontrolle &uuml;ber die Adresse nicht mehr hat. Wenn man sicherstellen m&ouml;chte, dass die bei CACert einmal registrierten Adressen auch wirklich weiter unter der Kontrolle des Account Inhabers sind, m&uuml;sste man regelm&auml;&szlig;ig &uuml;berpr&uuml;fen, ob er noch E-Mails empangen kann, oder nicht?</div>

<div>Gru&szlig;</div>

<div>J&ouml;rg</div>

<div>&nbsp;
<div name="quote" style="margin:10px 5px 5px 10px; padding: 10px 0 10px 10px; border-left:2px solid #C3D9E5; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
<div style="margin:0 0 10px 0;"><b>Gesendet:</b>&nbsp;Donnerstag, 15. Oktober 2015 um 20:45 Uhr<br/>
<b>Von:</b>&nbsp;&quot;Stefan Thode&quot; &lt;***@cacert.org&gt;<br/>
<b>An:</b>&nbsp;cacert-***@lists.cacert.org<br/>
<b>Betreff:</b>&nbsp;*** GMX Spamverdacht *** Re: Mail-Adressen l&ouml;schen - Zertifikate revoked</div>

<div name="quoted-content">Hallo an die Liste,<br/>
wird eine Email-Adresse aus dem Account gel&ouml;scht, werden ALLE<br/>
Zertifikate, in denen diese Email-Adresse eingeschlossen wurde revoked.<br/>
Das ist kein Bug, sondern volle Absicht.<br/>
Das die Kontrolle &uuml;ber die Adresse aufgegeben wurde, darf auch die<br/>
M&ouml;glichkeit der Signatur mit dieser Adresse nicht mehr bestehen.<br/>
<br/>
Gru&szlig;<br/>
Stefan<br/>
<br/>
<br/>
Am 08.10.2015 um 10:44 schrieb S. H.:<br/>
&gt; Matthias Bergt wrote on 04.10.2015 11:35:<br/>
&gt;&gt; Dass aber*s&auml;mtliche* Zertifikate einer E-Mail-Adresse widerrufen<br/>
&gt;&gt; werden, die mal irgendwo zusammen mit einer der gel&ouml;schten Adressen in<br/>
&gt;&gt; einem Zertifikat auftauchen, auch wenn keine der gel&ouml;schten<br/>
&gt;&gt; E-Mail-Adressen in dem jeweiligen Zertifikat enthalten sind, halte ich<br/>
&gt;&gt; f&uuml;r einen Bug, oder?<br/>
&gt;<br/>
&gt; Kann ich mir eigentlich auch nicht vorstellen, dass das so gewollt<br/>
&gt; ist. &Uuml;berhaupt halte ich es nicht f&uuml;r richtig, dass &uuml;berhaupt<br/>
&gt; Zertifikate ungefragt widerrufen werden, solange es &uuml;ber die<br/>
&gt; Mailadresse keinen Dispute gibt. Die Zertifikate sind dadurch ja nicht<br/>
&gt; kompromittiert, es w&uuml;rde also reichen, dass keine neuen mehr mit<br/>
&gt; dieser Adresse erstellt werden k&ouml;nnen.<br/>
&gt;<br/>
<br/>
--<br/>
<br/>
Mit freundlichen Gruessen / best Regards<br/>
<br/>
Stefan Thode<br/>
CAcert Assurer<br/>
CAcert.org - Free Certificates<br/>
E-Mail: ***@cacert.org<br/>
<br/>
&nbsp;</div>
</div>
</div>
</div></div></body></html>
Reinhard Mutz
2015-10-16 09:16:53 UTC
Permalink
Hallo Jörg,

wie wÀre es, wenn Du deine Email einfach mal mit einem Zertifikat signierst?

"Wenn ich die Kontrolle abgebe", muss ich die Emailadresse auch bei
CAcert löschen gemÀss unserer CCA.

Falls der von Dir hier angedeutete Fall eintritt, dass jemand seine
Emailadresse einem Dritten zum Gebrauch ÌberlÀsst, ist das ein klarer
Verstoss gegen unsere Policies und stellt möglicherweise sogar die
strafrechtlich relevante Beihilfe zum Betrug dar.

Solche FÀlle landen IMHO direkt und auf allerkÌrzestem Weg beim
Staatsanwalt.

kind regards

Reinhard

Am 16.10.2015 um 10:21 schrieb Jörg:
> Das ist aber nicht ganz durchdacht. Wenn ich die Kontrolle abgebe, heißt
> das nicht, dass die Adresse bei CACert gelöscht wird. Genau so wenig
> muss das Löschen bei CACert bedeuten, dass man die Kontrolle Ìber die
> Adresse nicht mehr hat. Wenn man sicherstellen möchte, dass die bei
> CACert einmal registrierten Adressen auch wirklich weiter unter der
> Kontrolle des Account Inhabers sind, mÃŒsste man regelmÀßig ÃŒberprÃŒfen,
> ob er noch E-Mails empangen kann, oder nicht?
> Gruß
> Jörg
>
> *Gesendet:* Donnerstag, 15. Oktober 2015 um 20:45 Uhr
> *Von:* "Stefan Thode" <***@cacert.org>
> *An:* cacert-***@lists.cacert.org
> *Betreff:* *** GMX Spamverdacht *** Re: Mail-Adressen löschen -
> Zertifikate revoked
> Hallo an die Liste,
> wird eine Email-Adresse aus dem Account gelöscht, werden ALLE
> Zertifikate, in denen diese Email-Adresse eingeschlossen wurde revoked.
> Das ist kein Bug, sondern volle Absicht.
> Das die Kontrolle ÃŒber die Adresse aufgegeben wurde, darf auch die
> Möglichkeit der Signatur mit dieser Adresse nicht mehr bestehen.
>
> Gruß
> Stefan
>
>
> Am 08.10.2015 um 10:44 schrieb S. H.:
>> Matthias Bergt wrote on 04.10.2015 11:35:
>>> Dass aber*sÀmtliche* Zertifikate einer E-Mail-Adresse widerrufen
>>> werden, die mal irgendwo zusammen mit einer der gelöschten Adressen in
>>> einem Zertifikat auftauchen, auch wenn keine der gelöschten
>>> E-Mail-Adressen in dem jeweiligen Zertifikat enthalten sind, halte ich
>>> fÃŒr einen Bug, oder?
>>
>> Kann ich mir eigentlich auch nicht vorstellen, dass das so gewollt
>> ist. Überhaupt halte ich es nicht fÃŒr richtig, dass ÃŒberhaupt
>> Zertifikate ungefragt widerrufen werden, solange es ÃŒber die
>> Mailadresse keinen Dispute gibt. Die Zertifikate sind dadurch ja nicht
>> kompromittiert, es wÃŒrde also reichen, dass keine neuen mehr mit
>> dieser Adresse erstellt werden können.
>>
>
> --
>
> Mit freundlichen Gruessen / best Regards
>
> Stefan Thode
> CAcert Assurer
> CAcert.org - Free Certificates
> E-Mail: ***@cacert.org
>
>
S. H.
2015-10-16 09:38:14 UTC
Permalink
> Am 16.10.2015 um 11:16 schrieb Reinhard Mutz <***@cacert.org>:
>
> Falls der von Dir hier angedeutete Fall eintritt, dass jemand seine
> Emailadresse einem Dritten zum Gebrauch ÌberlÀsst, ist das ein klarer
> Verstoss gegen unsere Policies und stellt möglicherweise sogar die
> strafrechtlich relevante Beihilfe zum Betrug dar.

Ähm
 die Kontrolle abgeben heißt nicht zwangslÀufig dass man seine Mailadresse jemandem ÃŒberlÀsst, das ist mal das eine. Es reicht, eine Mailadresse beim Provider zu löschen. In der Regel wird sie dann irgendwann zur Neuregistrierumg freigegeben. Der Vorschlag der widerholten PrÃŒfung ist durchaus gerechtfertigt. Die meisten kommerziellen CAs prÃŒfen das, bevor sie Zertifikate verlÀngern.

Davon abgesehen: Wo steht dass ich meine Mailadressen niemandem zum Gebrauch ÃŒberlassen darf? Ich darf meinen CAcert-Account und private SchlÃŒssel niemandem ÃŒberlassen.

> Solche FÀlle landen IMHO direkt und auf allerkÌrzestem Weg beim
> Staatsanwalt.

Solche FÀlle sollten doch eigentlich zur Arbitration eingereicht werden, wenn Ìberhaupt.
Stefan Thode
2015-10-16 12:34:57 UTC
Permalink
Hallo,
wenn man einem anderen einen Email-Account ÌberlÀsst, hat man die
Kontrolle darÃŒber abgegeben.
Dann sind wir verpflichtet durch die CCA, die Email-Adresse im CAcert
Account freizugeben.
Mehr wollte Reinhard offensichtlich nicht ausdrÃŒcken.
Wenn dieser Dritte einen Email-Account mit fremder Signatur fÃŒr
kriminelle Zwecke nutzt, dann ist es ein Fall fÃŒr die Staatsanwaltschaft.
Arbitration deckt NUR Zivilrecht ab.

Und die regelmÀßige PrÃŒfung, ob ein Email-Account noch in der Kontrolle
des Members ist, wird absichtlich in der Verantwortung des Members
belassen. Was soll denn noch alles reguliert werden?
Die Member ÜberprÃŒfung bei Assurances ist doch bereits wesentlich
genauer als bei kommerziellen CAs.

Gruß
Stefan


Am 16.10.2015 um 11:38 schrieb S. H.:
>> Am 16.10.2015 um 11:16 schrieb Reinhard Mutz <***@cacert.org>:
>>
>> Falls der von Dir hier angedeutete Fall eintritt, dass jemand seine
>> Emailadresse einem Dritten zum Gebrauch ÌberlÀsst, ist das ein klarer
>> Verstoss gegen unsere Policies und stellt möglicherweise sogar die
>> strafrechtlich relevante Beihilfe zum Betrug dar.
> Ähm
 die Kontrolle abgeben heißt nicht zwangslÀufig dass man seine Mailadresse jemandem ÃŒberlÀsst, das ist mal das eine. Es reicht, eine Mailadresse beim Provider zu löschen. In der Regel wird sie dann irgendwann zur Neuregistrierumg freigegeben. Der Vorschlag der widerholten PrÃŒfung ist durchaus gerechtfertigt. Die meisten kommerziellen CAs prÃŒfen das, bevor sie Zertifikate verlÀngern.
>
> Davon abgesehen: Wo steht dass ich meine Mailadressen niemandem zum Gebrauch ÃŒberlassen darf? Ich darf meinen CAcert-Account und private SchlÃŒssel niemandem ÃŒberlassen.
>
>> Solche FÀlle landen IMHO direkt und auf allerkÌrzestem Weg beim
>> Staatsanwalt.
> Solche FÀlle sollten doch eigentlich zur Arbitration eingereicht werden, wenn Ìberhaupt.

--

Mit freundlichen Gruessen / best Regards

Stefan Thode
CAcert Assurer
CAcert.org - Free Certificates
E-Mail: ***@cacert.org
Loading...