Verschlüsseln mit WEB.de (Freemail)

  • Frage: funktioniert das verschlüsseln von E-Mails in Thunderbird auch mit meinem Zertifikat von WEB.de ? Wenn ja wie bekomme das hin ?
    Ich habe das Zertifikat importiert, bekomme aber die Meldung es sei ungültig bzw. kann nicht verifiziert werden :-(
    In Outlook klappt es problemlos.


    (Thunderbird 2.0.0.0, WinXPproSP2)

  • Hi LtWort,


    dann wolln wir mal ... .
    Die "Reklame" für meinen Beitrag in den FAQ hat Thunder ja schon gemacht. Die ganze Problematik mit dem Verschlüsseln ist für jemand, der sich noch nie damit befasst hat, nicht ganz einfach.


    Ich muss jetzt zugeben, dass meine Erfahrungen mit dem Trustcenter von web.de schon ein paar Jahre zurückliegen. Ich kann also nur Grundlegendes sagen.
    Du kannst dir bei web.de ein ganz normales X.509-Zertifikat generieren lassen. Dieses Zertifikat kannst du in deinen Browser importieren und aus diesem dann als Datei exportieren. Du musst dann eine .p12 oder .pfx Datei vorliegen haben. Diese Datei ist deine Schlüsseldatei aus dem privaten und dem öffentlichen Schlüssel.


    Was du jetzt unbedingt brauchst, ist das root-Zertifikat von web.de. Mit diesem root-Zertifikat (richtiger: dem dazugehörigen geheimen Schlüssel, du bekommst nur den öffentlichen Schlüssel in die Finger) ist dein persönliches Zertifikat signiert (unterschrieben). Dieses root-Zertifikat bekommst du von irgend einer Seite von web.de. Und dieses musst du zuerst in deinen Zertifikatsmanager unter "Zertifizierungsstellen" importieren. Und dann gleich mit "Bearbeiten" dein Vertrauen zu diesem Zertifikat einstellen. Wenn du diesem Z. vertraust, dann vertraust du auch allen persönlichen Z., die von dieser root zertifiziert wurden. Wenn nicht: siehe dein Problem.


    Und warum klappt es mit dem OE ohne dies alles?
    Ganz einfach: Der OE benutzt ja auch den Kryptospeicher des IE mit. Und wenn du mit diesem das Zertifikat genutzt oder importiert usw. hast, dann hast du auch das root von web.de gleich automatisch mit importiert.
    Nebenbei: du kannst das zoot-Z. auch aus dem IE exportieren. Als cer oder der-Datei.


    Noch was: Zertifikate haben eine Lebensdauer (Gültigkeit). Die solltest du dir auch mal ansehen.


    Alles klar?
    Melde dich, wenn du (nach dem Durchlesen des Beitrages aus den FAQ) noch weitere Fragen hast.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Danke für die Infos.
    Das hatte ich alles so gemacht wie beschrieben, die Zertifikate entsprechend importiert und bearbeitet (Vertrauen bestätigt, Gültigkeitsdauer ok).
    Wenn ich mir jetzt selber ein unterschriebenes Zertifikat sende wir in der Nachricht unter Zertifikat angezeigt:


    ... die Unterschrift ist ungültig. Das ... Zertifikat wurde von einer Zertifizierungsstelle herausgegeben, der Sie für diese Art von Zertifikaten nicht vertrauen.
    ...
    Zertifikat herausgegeben von: WEB.DE TrustCenter EMail-Zertifikate


    Das Zertifikat habe ich aber als vertrauenswürdig eingestellt.

  • Hi,


    dann hast du mit Sicherheit das dazugehörige root-Zertifikat von web.de noch nicht "Bearbeitet" und ihm dein Vertrauen ausgeprochen.
    Von web.de habe ich hier zwei Zertifikate: WEB.DE TrustCenter.cer und WEB.DE EMail-Zertifikate.cer. Hole dir am Besten beide und sprich ihnen das Vertrauen aus.


    > Wenn ich mir jetzt selber ein unterschriebenes Zertifikat sende ...
    Du meinst bestimmt eine unterschriebene (signeierte) Mail?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,

    Zitat von "Peter_Lehmann"

    dann hast du mit Sicherheit das dazugehörige root-Zertifikat von web.de noch nicht "Bearbeitet" und ihm dein Vertrauen ausgeprochen.
    Von web.de habe ich hier zwei Zertifikate: WEB.DE TrustCenter.cer und WEB.DE EMail-Zertifikate.cer. Hole dir am Besten beide und sprich ihnen das Vertrauen aus.

    Das habe ich auch gemacht:
    von http://trust.web.de hab ich das WEB.DE Root-Zertifikat (webderoot.der) und WEB.DE E-Mail-Zertifikat (webdeca.cer) installiert, und natürlich mein eigenes.
    Unter Zertifizierungsstellen steht jetzt bei mir WEB.DE AG / WEB.DE TrustCenter, und unter Websites steht WEB.DE TrustCenter EMail-Zertifikate. Beides mal unter Vertrauenseinstellungen alle Häkchen gemacht. Gültig sind auch alle (Datum).

    Zitat von "Peter_Lehmann"

    Du meinst bestimmt eine unterschriebene (signierte) Mail?

    Ja.


    Gruß Matthias


    P.S. grad noch mal das WEB.DE-Zertifikat (Cinetic Medientechnik GmbH) installiert.

  • Ja, ich kann leider nicht mit testen, da ich kein Zertifikat von web.de mehr besitze.
    Wenn du selbst signieren kannst, dann sagt mir das, dass du deine eigene Schlüsseldatei richtig importiert hast. Verschlüsseln und entschlüsseln von Mails an dich selbst geht wohl auch?
    Wenn die Signatur als ungültig festgestellt wird, weil du der Zertifizierungsstelle nicht vertraust, dann kann es auch nur daran liegen. Ich kann mir jedenfalls keinen anderen Fehler vorstellen.


    Schau dir mal die Signatur einer empfangenen Mail an. Dort kannst du die Signaturkette überprüfen (eigenes Zertifikat > Herausgeber > root des Herausgebers). Das war nur ein Beispiel. Du musst exakt alle in dieser Kette befindlichen Zertifikate in deinem Speicher haben und ihnen vertrauen.


    Wie ich gerade sehe, hängt da noch eine weitere Firma drin. Hole dir auch noch deren Zertifikat und importiere es.


    Falls du Interesse hast, kann ich dir gern mit meiner kleinen "Privat-CA" ein Test-Zertifikat produzieren. Damit können wir dann "üben". Oder - was ich dir noch viel mehr als web.de empfehle - du holst dir ein kostnix-Zertifikat von http://www.trustcenter.de. Das können dann auch deine Mailpartner. Denn verschlüsselte Mails an sich selbst versenden macht auf Dauer auch keinen Spaß :-)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • So nun gehts endlich :)
    Und zwar stand stand das Zetifikat WEB.DE Trustcenter EMail-Zertifikate im Zertifikatsspeicher unter Websites und es gehöhrt nach Zertifizierungsstellen ! (Dort steht dann auch noch ein weiteres Zertifikat WEB.DE Trustcenter.)
    Das hatte ich Dussel wohl dort falsch importiert (?) und nicht mehr darauf geachtet, wenn man zwanzigmal dahinguckt nimmt man das irgendwann nicht mehr wahr.
    Danke noch mal für die Infos / Hilfe !

  • Na, wer sagt es denn ... . :-)
    Damit hast du das allerkleinste Problem bei der Mailverschlüsselung geschafft.
    Das größte liegt noch vor dir: Deine Mailpartner von der Nützlichkeit zu überzeugen.
    Dazu wünsche ich dir viel Erfolg.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!