TB 2.0.0.12 Dig. Signatur bei Konto mit mehreren Identitäten

  • Ich habe ein Mail-Konto mit 2 Identitäten (xxxx@domain.xy und yyyy@domain.xy). Mit einer der beiden Identitäten habe ich schon einige Male erfolgreich Mails digital signiert u./od. verschlüsselt.
    Jetzt wollte ich das wieder tun (digital signieren) - allerdings mit der anderen Identität - und es erscheint folgende Aufforderung:
    Sie müssen ein oder mehrere persönliche Zertifikate einrichten, bevor Sie diese Sicherheitsfunktion verwenden können. Möchten Sie dies jetzt machen? Ja/Nein.
    Das verwendete Zertifikat ist noch gültig.
    Auch wenn ich das Zertifikat entferne und neu einfüge ändert sich nichts. Wenn ich danach wieder signieren möchte, kommt die gleiche Aufforderung wie oben.
    Bin ratlos und würde dringend Tipps benötigen, woran das liegen kann. :gruebel:
    Vielen Dank im Voraus!
    Paraglider

    Einmal editiert, zuletzt von paraglider ()

  • Hallo Paraglider,


    und Willkommen im Forum! ;)
    Gehe ich recht in der Annahme, daß Du von S/MIME Zertifikaten sprichst?


    MfG ... Vic

  • Hi Paraglider,


    ich nehme mal an, dass Vic~ nichts dagegen hat, wenn ich mich hier reinhänge.


    Ein X.509-Zertifikat ist so etwas wie eine "digitale Identität" odere ein "digitaler Ausweis". Das bedeutet, dass bei einem richtigen, gegen Geld erworbenen fortgeschrittenen oder qualifizierten Zertifikat nachgewiesenermaßen der echte Name und die echte Mailadresse im Zertifikat steht. Da gibt es sehr strenge Regeln.
    Bei den üblichen "Kostnix-Zertifikaten" ist es zumindest die Mailadresse, welche auch überprüft wurde. (Sonst hätte man dir es nicht erzeugen können.)
    Das Mailprogramm verbindet jetzt das Zertifikat anhand der Mailadresse (E= ...) mit dem Mailkonto. Damit dürfte klar sein, dass diese übereinstimmen muss.
    Jetzt kann man zwar auch mehrere Mailadressen in ein Zertifikat eintragen, aber damit hat Thunderbird wie die meisten Mailclients ein Problem. In der Praxis wird so etwas auch deshalb kaum gemacht.
    Solltest du also ein (fortgeschrittenes oder qualifiziertes) Zertifikat mit mehreren Mailadressen besitzen, dann kannst du zumindest versuchen, dieses in beiden Konten in die Kontoeinstellungen > S/MIME einzutragen.
    Ein professionelles Mailprogramm beim Empfänger zeigt in solchen Fällen allerdings immer eine Warnung wegen einer falschen Mailadresse an. Sieht nicht gut aus ... .
    Hast du nur ein Kostnix-Zertifikat, dann kannst du doch einfach ein weiteres beantragen.


    Alles klar?
    Meine Anleitung in den FAQ hast du gelesen?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    danke für deine ausführliche Antwort!


    Mein Zertifikat ist ein Class 3. Da ist auch eine Mail-Adresse dabei. Die ist allerdings mit keiner der beiden Identitäten in den Mail-Konten ident. Trotzdem hat die Signatur bei der einen funktioniert (nämlich bei office@name.xy, bei vorname@name.xy geht es nicht). Die Adresse im Zertifikat ist vorname.name@provider.xy. Im Verzeichnis der Zertifizierungsstelle sind office@name.xy und vorname@name.xy eingetragen


    Würde mich interessieren, ob schon mal wer erfolgreich probiert hat, bei einem Mail-Konto für mehrere Identitäten das gleiche Zertifikat zu verwenden.


    Grüße,
    Paraglider


    P.S.: Die FAQs hab ich gelesen ;)

  • Ich wäre wirklich dankbar, wenn das irgend jemand ausprobieren könnte:


    Das digitale Signieren von 2 Mails, die vom selben Konto allerdings mit 2 verschiedenen Identitäten verschickt werden.
    Es wird doch einige geben, denen das ganz einfach möglich ist :rolleyes:


    Wäre mir wirklich eine große Hilfe bei der Ursachenfindung!


    :flehan:


    Paraglider

  • Im Thunderbird ist es nur möglich, der Hauptidentität ein Zertifikat zum Signieren zuzuordnen. (Jedenfalls habe ich unter "weitere Identitäten" keinen derartigen Dialog gefunden ... .)


    Alle anderen Fragen habe ich doch beantwortet. Ohne dein Zertifikat zu sehen, kann ich auch nicht feststellen, welche Einträge zum Beispiel als "kritisch" eingestuft sind. Kritisch bedeutet in diesem Fall "das ist zwingend vorgegeben".


    Und - wie ich auch schon in meinem vorherigen Beitrag sinngemäß geschrieben habe - auch wenn du es schaffst, einem Konto ein Zertifikat mit einer anderen Adresse unterzujubeln, so wird es doch in jedem mir bekannten Mailclienten mit S/MIME-Unterstützung zu einer Warnmeldung kommen. Vom grauen Briefumschlag mit Fragezeichen beim Thunderbird bis zur großen aufpoppenden Warnung bei kommerziellen Programmen. Und die Warnung lautet immer sinngemäß, dass die Nachricht gültig signiert (also unverändert seit dem Signieren) ist, aber die Absenderadresse nicht mit der im Zertifikat eingetragenen übereinstimmt. Also: unprofessionell.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Das Zuordnen eines Zertifikats würde ich als Konto-bezogen sehen. Wenn ich das Zertifikat auswähle, mache ich das im Unterpunkt S/MIME-Sicherheit des Kontos, ohne eine Identität gewählt zu haben. Dass das für die weiteren Identitäten nicht extra möglich ist würde das in meinen Augen bestätigen.


    Ich verstehe nicht, was in diesem Zusammenhang kritische oder nicht kritische Einträge für eine Relevanz haben.
    Das Zertifikat weist einen Inhaber aus und der bin ich (mein Name). Als weitere Identität wird (leider) eine veraltete Mail-Adresse angegeben (werde ich demnächst aktualisieren, ändert aber am Grundproblem nichts). Dieser Eintrag ist als unkritisch klassifiziert. Wichtig ist doch, dass der Empfänger sehen kann, dass die Mail von mir (mein Name) unterzeichnet worden ist, unabhängig davon, welche Mailadresse ich verwendet habe.
    Was ist daran unprofessionell???


    Grüße,
    Paraglider

  • Zitat von "paraglider"


    Was ist daran unprofessionell???


    Hallo,


    nun ich bin bei weitem nicht *der* S/MIME-Guru!
    Aber als ich mein Zertifikat beantragte { :) - ja ~ ich versuche mich jetzt auch mal mit dieser Verschlüsselung & Signierung} wurde neben Adresse, Namen etc. eben auch (m)eine e-mail-Adresse erfragt und verifiziert!


    So weit ich es verstehe sind im Zertifikat eben mail-Adresse und persönliche Daten eng miteinander verknüpft - sprich stimmt eines davon nicht, so kommt es zu einer Warn- bzw. Fehlermeldung.
    [Was natürlich wenig vertrauenserweckend ist.] :cry:


    Evtl. hilft Dir dies weiter.


    MfG ... Vic

  • Nun, wenn es sogar der "Chef der GnuPG-Fraktion" so bestätigt :-)


    Wie ich schon schrieb, bei einem professionellen Mailprogramm (zum Bsp. dem LoNo-Plugin cv-act von Cryptovi****) wird jede einzelne Eintragung im Zertifikat und nicht nur der - zugegebenermaßen sehr wichtige - cn ausgewertet. Und wenn zum Bsp. die Mailadresse nicht stimmt, kommt eine entsprechende Warnmeldung. Selbstverständlich kann dann Brain_01 einsetzen und in Verbindung mit dem angezeigten cn die Signatur für gültig erklären. Aber eine derartige Warnmeldung sieht eben unprofessionell aus.


    Und so ganz nebenbei: Ich habe beruflich so ziemlich alle verfügbaren MUA auf Kompatibilität der S/MIME Funktionen getestet. Und mit Zertifikaten mit mehreren e= - Einträgen hat es immer Probleme gegeben.
    Bemerkung: Siehe oben ... .


    Und noch einer: Bei einer (qualifizierten) Dokumentensignatur ist natürlich der cn das Maß aller Dinge.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "Peter_Lehmann"

    Nun, wenn es sogar der "Chef der GnuPG-Fraktion" so bestätigt


    "Quatschkopf"! :lol:


    Zudem habe ich wohl unter S/MIME - Deiner Domaine - noch sehr viel Lesebedarf!
    Warte nur bis *ich* hierzu mal ins Fragen komme! -> Dann wirst Du mich verfluchen! :aerger:


    MfG ... Vic ;)

  • Zitat von "Vic~"

    So weit ich es verstehe sind im Zertifikat eben mail-Adresse und persönliche Daten eng miteinander verknüpft - sprich stimmt eines davon nicht, so kommt es zu einer Warn- bzw. Fehlermeldung.
    [Was natürlich wenig vertrauenserweckend ist.] :cry:


    Leuchtet mir irgendwie ein :ja:

    Zitat von "Peter_Lehmann"

    Und noch einer: Bei einer (qualifizierten) Dokumentensignatur ist natürlich der cn das Maß aller Dinge.


    Wofür steht cn? :gruebel: Hab diese Abkürzung in meinem Zertifikat 2-fach gefunden (beim Herausgeber und beim Inhaber).


    Grüße,
    Paraglider