Clarify: tls_verify_certificates is for CA certs.
authorPhil Pennock <pdp@exim.org>
Mon, 17 Jan 2011 03:21:37 +0000 (22:21 -0500)
committerPhil Pennock <pdp@exim.org>
Mon, 17 Jan 2011 03:21:37 +0000 (22:21 -0500)
It can be used for individual user certs but is really intended for
CAs.  Note this, and explain that if the tls_verify_certificates value
is a file, then the certs within are sent from the server to clients,
thus is public data.

doc/doc-docbook/spec.xfpt

index 15b3a2b896ebe271094a206a8bfb17c1a5fa0b1a..160410bd347204bfa981a5980220f7c8242a756e 100644 (file)
@@ -15431,6 +15431,13 @@ are using OpenSSL, you can set &%tls_verify_certificates%& to the name of a
 directory containing certificate files. This does not work with GnuTLS; the
 option must be set to the name of a single file if you are using GnuTLS.
 
 directory containing certificate files. This does not work with GnuTLS; the
 option must be set to the name of a single file if you are using GnuTLS.
 
+These certificates should be for the certificate authorities trusted, rather
+than the public cert of individual clients.  With both OpenSSL and GnuTLS, if
+the value is a file then the certificates are sent by Exim as a server to
+connecting clients, defining the list of accepted certificate authorities.
+Thus the values defined should be considered public data.  To avoid this,
+use OpenSSL with a directory.
+
 
 .option tls_verify_hosts main "host list&!!" unset
 .cindex "TLS" "client certificate verification"
 
 .option tls_verify_hosts main "host list&!!" unset
 .cindex "TLS" "client certificate verification"