<p class="MsoNormal">Hi, </p>

<p class="MsoNormal"> </p>

<p class="MsoNormal"><span lang="EN-US">I am using
stunnel in server mode with mutual authentication. The PKI used to authenticate
my client is the following : root CA ->  Intermediate CA -> Client. </span></p>

<p class="MsoNormal"><span lang="EN-US">My stunnel
configuration is :</span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10pt;font-family:'Courier New'"> </span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10pt;font-family:'Courier New'">CAfile =
RootCA.pem</span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10pt;font-family:'Courier New'">CRLfile =
IntermediateCACRL.pem</span></p>

<p class="MsoNormal"><span style="font-size:10pt;font-family:'Courier New'">verify = 2</span></p>

<p class="MsoNormal"><span lang="EN-US"> </span></p>

<p class="MsoNormal"><span lang="EN-US">RootCA.pem
contains the Root CA certificate</span></p>

<p class="MsoNormal"><span lang="EN-US">IntermediateCACRL.pem
contains the CRL file of the Intermediate CA</span></p>

<p class="MsoNormal"><span lang="EN-US"> </span></p>

<p class="MsoNormal"><span lang="EN-US">The client
authentication with client certificate goes well. The problem occurs when a
client certificate is revoked. After the Intermediate CA CRL updates, the
client certificate is still accepted whereas it should be refused.</span></p>

<p class="MsoNormal"><span lang="EN-US"> </span></p>

<p class="MsoNormal"><span lang="EN-US">With the
following configuration the revoked certificate is refused :</span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10pt;font-family:'Courier New'">CAfile =
IntermediateCA.pem</span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10pt;font-family:'Courier New'">CRLfile =
IntermediateCACRL.pem</span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10pt;font-family:'Courier New'">verify = 2</span></p>

<p class="MsoNormal"><span lang="EN-US">but I would
prefer using the first configuration.</span></p>

<p class="MsoNormal"><span lang="EN-US"> </span></p>

<p class="MsoNormal"><span lang="EN-US">Everything
happens like if stunnel checks the crl only for the CA certificate and not for
the whole certification chain.</span></p>

<p class="MsoNormal"><span lang="EN-US"> </span></p>

<p class="MsoNormal"><span lang="EN-US">Thank you
for your answers,</span></p><p class="MsoNormal"><span lang="EN-US"><br></span></p><p class="MsoNormal"><span lang="EN-US">Jean-Philippe Constant</span></p>