OL-2016 und S/Mime-Versand: Anzeige nur signierter Mails dauert sehr lange

Hallo,
mit OL-2016 unter Win10 werden S/Mime-signierte Mails verschickt und danach im Ordner ‘Gesendete Objekte’ abgelegt.
Z.B. nach einem Reboot und OL-2016-Neustart klickt man in ‘Gesendete Objekte’ zur Anzeige auf eine solche signierte Email und muss warten…

Meldung in etwa ‘S/Mime bitte warten, Mail wird entschlüsselt/ überprüft…’

Warum dauert die Anzeige eine nur signierten (NICHT verschlüsselten) gesendeten Mail so lange?
WorkAround?

Danke + Gruß, Chris

Hallo Chris,

manchmal dauert die Überprüfung der Sperrlisten der Zertifikate recht lang.
Zumindest wäre das meine erste Idee.

Die Sperrlisten müssten regelmäßig geholt werden und je nach Lage und Zertifizierungsstelle sind das viele Daten und kommen langsam. CaCert war in der Vergangenheit bekannt dafür überlange Sperrlisten zu haben. Als Test kannst Du vorübergehend die Prüfung der Sperrlisten (CRLs) abschalten und schauen, ob sich das Verhalten dann ändert. Danach wieder einschalten.

Gruß,
Bernhard

Hallo,
ich habe testhalber mal die zwei rot markierten Optionen abgeschaltet, damit ging die Überprüfung dann schneller.

Ähnlich aufällige Verzögerungen habe ich bei der originalen S/Mime-Behandlung in Outlook-2016 (also ohne GPGOl-Addin) noch nicht gesehen.

Kann man Kleopatra vielleicht sagen, dass nach dem Start die S/Mime-Zertifikate auf Gültigkeit überprüft werden und dann z.B. für 24h ohne neue Überprüfung bei der Verwendung gültig sind?

Gruß Chris

Screen-2019-08-15_17-34-05.jpg

Hallo,

in Kleopatra kann man das nicht sagen. Aber mit dem Kommando:

“gpgsm --with-validation -k” erreichst du genau das bzw. es wird so lange gecached wie es in den CRLs drin steht. (Sofern CRL Prüfungen aktiviert sind).

Das könntest du dir eventuell als login script hinterlegen das das im Hintergrund startet.

Gruß,
Andre

Hallo,
von der Man-Page unter https://linux.die.net/man/1/gpgsm :
–force-crl-refresh
Tell the dirmngr to reload the CRL for each request. For better performance, the dirmngr will actually optimize this by suppressing the loading for short time intervals (e.g. 30 minutes). This option is useful to make sure that a fresh CRL is available for certificates hold in the keybox. The suggested way of doing this is by using it along with the option --with-validation for a key listing command. This option should not be used in a configuration file.

Muss man also --force-crl-refresh UND --with-validation als option angeben, um die CRL zu aktualisieren?

Wie lange gilt diese Aktualisierung dann und werden z.B. zwischenzeitlich zurückgezogene Schlüssel als soche markiert?

Danke + Gruß, Chris

Hallo Chris,

hier mein Verständnis. (Um es genau zu wissen, müsste es ausprobiert werden, zumindest mit der Dokumentation betrachtet werden, die genau zu der eingesetzten Version passt.)

| Muss man also --force-crl-refresh UND --with-validation als option angeben, um die CRL zu aktualisieren?

Um einmalig alle CRLs aufzufrischen: Ja.

| Wie lange gilt diese Aktualisierung dann

Normalerweise werden CRLs solange zwischengespeichert, bis sie abgelaufen sind.
Also: Hängt von den CRLs ab.

| werden z.B. zwischenzeitlich zurückgezogene Schlüssel als soche markiert?

Vermutlich nicht (weil es nicht sinnvoll wäre, da immer nur die aktuelle CRLs gilt, wenn die CA sich entscheidet den öffentlichen Schlüssel nicht mehr in die Sperrliste aufzunehmen, dann ist er nicht “gesperrt”. Zurückgezogene Schlüssel zu sperren ist nur dann wirklich gut, wenn die Schlüssel kompromitiert wurde.)

Gruß,
Bernhard

Lasse die CRL-Überprüfung jetzt 1x morgens per Batch laufen mit:

gpgsm --force-crl-refresh --with-validation -k > crl-upd.log

Muss dann nicht auch in Kleopatra\Einrichten\SMime-Prüfung die Zeit bei “Zertifikatsgültigkeit überprüfen alle” von der Standard-1Stunde auf 24 Stunden erhöht werden?

Bliebe man bei einer Stunde, wäre die Batch-Überprüfung morgens ja nach einer Stunde schon wieder hinfällig!? Oder habe ich das falsch verstanden?

Danke + Gruß, Chris

Screen-2019-08-23_09-24-20.jpg

Hallo Chris,

bei der Kleopatra-Einstellung “Zertifikatsgültigkeit überprüfen alle” bin ich mir (ohne weitere Nachforschung) nicht sicher, was genau passiert.

Die Beschreibung der “Direkthilfe” (erreichbar über rechte Maustaste) sagt es nicht klar genug.

Meine Vermutung ist, dass Du Recht hast und Du hier höher gehen möchtest, weil sonst jede Stunde ein --force-crl-refresh ausgelöst wird.

Gruß,
Bernhard

Hallo nochmal,
ein kurzer Blick in den Quelltext von Kleopatra lässt mich vermuten, dass es sich
um eine Funktion von Kleopatra handelt und nicht von der Kryptoengine (GnuPG).
Also ist meine Vermuting: Wenn Kleopatra läuft (also der Dienst), dann wird in der angezeigten Zeit ein --force-crl-refresh durch Kleopatra ausgelöst.

Gruß,
Bernhard

Hmmm, dann könnte man die Kleopatra-Funktion
“S/Mime-Prüfung>Zertifikatsgültigkeit überprüfen alle x Stunden” abschalten, falls beim täglichen Rechnerstart
“gpgsm --force-crl-refresh --with-validation -k” abgearbeitet wird?

Gruß Chris

… wenn dass zum Sicherheitskonzept passt, ja, sehe ich auch so. :slight_smile:

Gruß,
Bernhard