SSL Zertifikat

Hallo,

gibt es eine Möglichkeit, sich im Vorfeld über stattfindende Zertifikatänderungen informieren zu lassen?

Seit heute hat sich - jedenfalls aus meiner Sicht, ich hoffe das ist auch regulär so - das SSL-Zertifikat auf we870.netcup.net geändert:
subject= /serialNumber=Cx6lc1ZzUuAkDI-a4cGkhQtskzSjRNU3/C=DE/ST=/L=Karlsruhe/O=netcup GmbH/CN=*.netcup.net
notBefore=Nov 26 05:59:07 2013 GMT
notAfter=Oct 21 23:37:01 2015 GMT
MD5 Fingerprint=B8:56:BA:5C:13:34:74:1F:7B:53:DD:05:4C:4D:E5:37
SHA1 Fingerprint=B0:5B:03:11:B9:2D:9A:9F:C5:3C:75:B1:4C:A0:EB:90:CA:7E:1B:F7

Ich weiß, dass das eigentlich nicht interessiert, weil sich kaum einer um Man-In-The-Middle-Angriffe kümmert. Aber ich prüfe das Serverzertifikat halt und Postfix hat natürlich prompt das Versenden eingestellt:
Nov 29 10:16:12 servername postfix/smtp[24277]: 28A31741D1: to=<mail@example.com>, relay=we870.netcup.net[46.38.232.112]:25, delay=2345, delays=234
4/0.29/0.45/0, dsn=4.7.5, status=deferred (Server certificate not verified)

In meinem Fall kein Beinbruch, hab selber keine zahlenden Kunden sondern nur Bekannte und Familie da drauf. Ist schnell geändert und gut is. Aber wie machen das denn andere, die z.B. zahlende Kunden haben? Einfach jedes Zertifikat akzeptieren?

Grüße
Michael

Hallo,

ist "unbemerkbar" ein Schreibfehler oder wirklich so gemeint? Also unabhängig von irgendwelchen Vertrauensketten prüfe ich das Zertifikat per known-fingerprint. Wenn also das neue Zertifikat einen anderen Fingerprint hat, was nach allerallerhöchster Wahrscheinlichkeit der Fall sein sollte (ansonsten wäre ssl/tls in sich kaputt), dann krieg ich das mit.
Und das ist auch gut so, sonst könnte ja irgendwer daherkommen, sich als Netcup-Server ausgeben und meine Mails abfangen.

Aber nungut, in Anbetracht dessen, dass die Server untereinander meist eh unverschlüsselt kommunizieren oder irgendwelchen Zertifikatsketten trauen, spielt das eh keine große Rolle.

Grüße
Michael