alte Zertifikate aufheben oder Verschlüsselung entfernen?

  • Hallo zusammen,


    mal wieder habe ich ein Problem mit Zertifikaten unter Thunderbird. Mein bisheriges kostenloses Zertifikat ist nun abgelaufen und da eine Verlängerung bei diesem Level ja leider nicht möglich ist, habe ich wieder ein neues beantragt. Nun stellt sich mir die Frage, was passiert mit meinen verschlüsselten Mails im Posteingang? Wenn ich irgendwann in ferner Zukunft den PC neuinstallieren muss, werde ich da mein altes, jetzt abgelaufenes Zertifikat installieren müssen, damit ich meine alten Mails noch lesen kann?
    Der Logik nach wahrscheinlich schon, gibt es deshalb eine Möglichkeit, die Verschlüsselung von alten Mails im Posteingang zu entfernen? Es ist doch ziemlich unkomfortabel immer einen Satz alter Zertifikate mit sich rumzuschleppen....


    Und wenn ich schon am Fragen stellen bin: Gibt es inzwischen eigentlich (endlich!) eine Lösung für mehrere Zertifkate bei mehreren Identitäten? Leider war das bisher ja nicht möglich - großer Schwachpunkt von Thunderbird - da das Programm ja immer nur das Zertifikat der Hauptidentität akzeptiert. Ein Plugin wäre mir auch ganz recht...


    Vielen Dank und Gruß.

  • Hi Mr. Z


    wusste noch gar nicht, dass man mit Zertifikaten Probleme haben kann ... . :-)


    Zitat von "Mr. Z"

    Mein bisheriges kostenloses Zertifikat ist nun abgelaufen und da eine Verlängerung bei diesem Level ja leider nicht möglich ist, habe ich wieder ein neues beantragt.


    Das ist normal, bei einem Softwaretoken ist die maximale Gültigkeit 1 Jahr. Das hat ganz einfach etwas mit der kryptologischen Sicherheit zu tun. Die Schlüssellänge wächst mit der gesteigerten Rechenkraft. Und im Gegensatz zur (Prozessor-)Chipkarte hat der Angreifer beliebig viele Versuche.


    Zitat von "Mr. Z"

    Nun stellt sich mir die Frage, was passiert mit meinen verschlüsselten Mails im Posteingang? Wenn ich irgendwann in ferner Zukunft den PC neuinstallieren muss, werde ich da mein altes, jetzt abgelaufenes Zertifikat installieren müssen, damit ich meine alten Mails noch lesen kann?


    Du kannst mit dem alten Schlüssel deine Mails beliebige Zeit nach dem Ablauf der Gültigkeit des Zertifikates entschlüsseln. Nur verschlüsseln und signieren geht dann nicht mehr.
    Selbstverständlich musst du die Schlüsseldateien immer neu importieren. Aber: du kannst doch problemlos die kompletten drei Dateien mit den Schlüsseln und PW weiter nutzen ... .


    Zitat von "Mr. Z"

    Der Logik nach wahrscheinlich schon, gibt es deshalb eine Möglichkeit, die Verschlüsselung von alten Mails im Posteingang zu entfernen? Es ist doch ziemlich unkomfortabel immer einen Satz alter Zertifikate mit sich rumzuschleppen....


    ÜberLogik kann man streiten. Ich kenne beim TB keine Lösung, die Mails entschlüsselt zu speichern. Zumindest keine Lösung ohne Tricks wie erneutem Senden o. ä. Und wieso ist das unkomfortabel? Ich habe ca. 20 Schlüssel auf der Platte + 1 Chipkarte und gestört hat es mich bisher nicht.


    Zitat von "Mr. Z"

    Und wenn ich schon am Fragen stellen bin: Gibt es inzwischen eigentlich (endlich!) eine Lösung für mehrere Zertifkate bei mehreren Identitäten? Leider war das bisher ja nicht möglich - großer Schwachpunkt von Thunderbird - da das Programm ja immer nur das Zertifikat der Hauptidentität akzeptiert. Ein Plugin wäre mir auch ganz recht...


    Das ist nicht nur ein "Problem" beim Thunderbird, sondern auch bei fast allen mir bekannten Clients. Eigentlich will das gar niemand, denn im professionellen Bereich ist es üblich, ein Zertifikat nur für eine Adresse auszustellen. Klar funktioniert es mit mehreren, aber so richtig eben nicht. Es gibt immer Probleme, und ein professioneller Client zeigt das beim Empfänger auch sehr deutlich an (=> ungültige Mailadresse).
    S/MIME und X.509 ist eben keine "Verschlüsselung für die Massen", sondern spielt in eine anderen Liga ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    danke wieder für Deine Antwort. Ich kann mich noch erinnern, dass wir schonmal recht intensiv über die Thematik "Zertifikate und Thunderbird" disskutiert haben.


    Und ja: Man kann mit den Zertifikaten eine Menge Probleme haben. Drei Identitäten, entsprechend drei Zertifikate, zwei Mailprogramme: Erstes und letzteres klappt wie gewünscht, also bleiben ja nur die Zertifikate als Problem übrig. ;)


    Was den Komfort angeht: Ein zentraler Server sammelt die Mails und stellt sie mittels Weboberfläche als auch IMAP-Server zur Verfügung. Die beiden Clients (Laptop und Desktop) greifen über Thunderbird auf die Mails zu. So.. Um nun die Mails auf den drei Identitäten über die letzten fünf Jahre lesen zu können, muss ich also 3*5 Zertifikate auf 3 Geräten bei jeder Neuinstallation wieder einbringen. Das sind dann 45 Mal Zertifikate einfügen. Nach meiner Definition ist DAS kein Komfort. Mal von den lieben Leuten, die sich bei PC-Arbeiten auf "ihren Admin/ihren Root" verlassen nicht zu sprechen.


    Meine Zusatzfrage (Drei Identitäten, drei Zertifikate. Nicht ein Zertifikat für mehrere Adressen!), darüber haben wir - wie gesagt - ja schonmal recht ausführlich gesprochen. Schade, dass es da noch immer keine Möglichkeit gibt, pro Identität ein passendes Zertifikat festzulegen. Dann muss ich das wohl weiterhin manuell eintragen.