
<p class="MsoNormal">Hi, </p>


<p class="MsoNormal"> </p>


<p class="MsoNormal"><span lang="EN-US">I am using

stunnel in server mode with mutual authentication. The PKI used to authenticate

my client is the following : root CA ->  Intermediate CA -> Client. </span></p>


<p class="MsoNormal"><span lang="EN-US">My stunnel

configuration is :</span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:10pt;font-family:'Courier New'"> </span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:10pt;font-family:'Courier New'">CAfile =

RootCA.pem</span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:10pt;font-family:'Courier New'">CRLfile =

IntermediateCACRL.pem</span></p>


<p class="MsoNormal"><span style="font-size:10pt;font-family:'Courier New'">verify = 2</span></p>


<p class="MsoNormal"><span lang="EN-US"> </span></p>


<p class="MsoNormal"><span lang="EN-US">RootCA.pem

contains the Root CA certificate</span></p>


<p class="MsoNormal"><span lang="EN-US">IntermediateCACRL.pem

contains the CRL file of the Intermediate CA</span></p>


<p class="MsoNormal"><span lang="EN-US"> </span></p>


<p class="MsoNormal"><span lang="EN-US">The client

authentication with client certificate goes well. The problem occurs when a

client certificate is revoked. After the Intermediate CA CRL updates, the

client certificate is still accepted whereas it should be refused.</span></p>


<p class="MsoNormal"><span lang="EN-US"> </span></p>


<p class="MsoNormal"><span lang="EN-US">With the

following configuration the revoked certificate is refused :</span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:10pt;font-family:'Courier New'">CAfile =

IntermediateCA.pem</span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:10pt;font-family:'Courier New'">CRLfile =

IntermediateCACRL.pem</span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:10pt;font-family:'Courier New'">verify = 2</span></p>


<p class="MsoNormal"><span lang="EN-US">but I would

prefer using the first configuration.</span></p>


<p class="MsoNormal"><span lang="EN-US"> </span></p>


<p class="MsoNormal"><span lang="EN-US">Everything

happens like if stunnel checks the crl only for the CA certificate and not for

the whole certification chain.</span></p>


<p class="MsoNormal"><span lang="EN-US"> </span></p>


<p class="MsoNormal"><span lang="EN-US">Thank you

for your answers,</span></p><p class="MsoNormal"><span lang="EN-US"><br></span></p><p class="MsoNormal"><span lang="EN-US">Jean-Philippe Constant</span></p>