Matthias Hunstock schrieb:
Bin ich jetzt schon wieder auf dem Holzweg oder verwechselst du diesmal
was? :-) Es gibt bei keytool die Option trustcacerts. Die bewirkt, das man
beim Import nicht die ganze Trustchain mitliefern muss, wenn in der
cacerts-Datei bereits ein passendes CA-Zertifikate enthalten ist.
Das von Dirk beschriebe Problem liegt aber woanders: OCSP ist ein Protokoll
um durch R�ckfrage bei einer CA festzustellen, ob ein von denen aus-
gestelltes Zertifikat noch g�ltig ist oder zur�ckgerufen wurde. Auch CACert
betreibt einen solchen OCSP-Responder.
http://wiki.cacert.org/OcspResponder
Der antwortet scheinbar manchmal mit malformed request. Das kommt wohl z.B.
dann vor, wenn der verwendete Hash-Algorithmus dort nicht unterst�tzt wird
oder dem CACert-Server sonstwas nicht passt. Vielleicht haben die
Loadbalancing auf mehrere Server und stellen gerade was um. Das Problem
k�nnte aber auch ganz woanders liegen und der Client sendet z.B. durch
einen Bug in Java8 mal richtige und mal "malformed requests". In jedem Fall
ist die Gegenstelle unzufrieden mit dem OCSP-Request, nicht die JVM.
Wenn man das Problem im Detail untersuchen m�chte, muss man wohl in den
Code der JRE schauen und die OCSP-Requests tracen, die zu CACert rausgehen.
Will man in erster Linie den Fehler vermeiden, sollte es ausreichen, das
OCSP-Checking in den deployment.properties abzuschalten. Das geht auch f�r
alle Benutzer eines Clients auf einen Rutsch, siehe "System Level" unter
http://docs.oracle.com/javase/8/docs/technotes/guides/jweb/jcp/properties.html
OCSP ist - und sp�testens hier ist es v�llig unabh�ngig von Java - schon
lange nicht unumstritten. Sp�testens seit Heartbleed kocht die Diskussion
wieder hoch, siehe z.B. die Beitr�ge von Adam Langley aus Googles Security-
Team. Chrome verwendet bewu�t kein OCSP mehr:
https://www.imperialviolet.org/2012/02/05/crlsets.html
https://www.imperialviolet.org/2014/04/19/revchecking.html
Gr��e,
Bernd