Wie kann man ein Zertifikat als vertrauenswürdig einstufen?

  • Ich habe folgendes Problem:
    Ich habe mir mit "abylon"-Software selbst ein Zertifikat generiert. Habe es in den Thunderbird (V. 1.5.0.8 für WinXP) Zertifikats-Manager (TB) importiert. Trotzdem weigert sich TB, dass Zertifikat zu verwenden. Beim versuch eine signierte E-mail zu senden kommt immer die Fehlermeldung:
    "Senden der Nachricht fehlgeschlagen.
    Kann Nachricht nicht signieren. Bitte überprüfen Sie, ob Zertifikat, ... , gültig und vertrauenswürdig sind."


    Vermute mal, dass man das Zertifikat als vertrauenswürdig einstufen muss (so wars auch bei Outlook). Kann mir jemand sagen, wie das geht?

  • Hi FFTom,


    ich könnte ja sagen, genau wie beim Outlook ... .


    Wichtig ist, dass du das grundsätzliche Prinzip der elektronischen Sigatur mt S/MIME verstanden hast. (Hier in gröbster Kurzform!)


    Du vertraust einer Stelle, welche Zertifikate herausgibt. Also einem so genannten Trust-Center (wie der Name schon sagt ... .). Und damit vertraust du allen Zertifikaten, welche dieses Trustcenter herausgegeben hat. Erkennst also an, dass die im Zertifikat beschriebene Person auch der natürlichen Person entspricht und dieses vom Trustcenter überprüft wurde. Und das Zertifikat dieser Person wurde von Herausgeber-Zertifikat des Trustcenters unterschrieben (signiert).
    Und genau dieses Vertrauen musst du zu allererst anerkennen, indem du das so genannte root-Zertifikat importierst und mit Bearbeiten das Vertrauen einstellst.
    Erst dann kannst du dein eigenes Schlüsselpaar (p12 oder pfx) installieren. Und ab jetzt kannst du Mails zumindest signieren.


    ABER: Auch wenn du deiner eigenen ca vertraust, so müssen dies deine Mailempfänger noch lange nicht tun. Erst dann, wenn diese (siehe oben ...), dann bringt dies etwas. Wenn sie dies nicht tun (weil sie es zum Beispiel nicht kennen/wissen), dann stiftet der durchgestrichene Schlüssel nur Verwirrung und bringt dumme Rückfragen.


    Vertrauen ist etwas, was man sich erarbeiten muss ... .


    Edit: Wenn du Interesse an dieser Sache hast,dann kannst du mir eine PN mit deiner Mailadresse schicken. Ich schicke dir dann gern weitere Informationen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Mir ist die Problematik mit selbst generierten Zertifikate bekannt. Da ich diese Zertifikat sowie so nur Privat einsetzen werden, genügt es meinen Sicherheitsanforderungen.


    Unter Outlook habe ich das Problem so gelöst, dass ich mein Zertifikat unter Vertraute Herausgeber und Vertrauenswürdige Stammzertifizierer importiert habe. Da hat Outlook es als 'Vertrauenswürdig' eingestuft und ich kann seitdem E-Mails signieren, entschlüsseln.


    Hab jetzt herausgefunden, was schief gelaufen ist. Man muss sein Zertifikat, erst in die Zertifizierungsstellen importieren und dann erst in "Ihre Zertifikate". Ich hab’s immer anders rum probiert und mich gewundert, warum TB immer mit der Fehlermeldung "Zertifikat schon vorhanden" abbricht.