web.de

    Hallo,
    ich möchte euch "Erlauchten" :D um Hilfe bitten.
    Mein Problem ist folgendes: Ich habe einen Acount bei Web.de und bin damit sehr zufrieden. Web.de bietet ein kostenloses Zertifikat das ich in TB einbinden möchte. Also habe ich das Zertifikat runtergeladen und in den Speicher unter eigene Zertifikate getan. Desweiteren habe ich das DA und das Rootzertifikat installiert. Aber beim Senden bekomme ich die Meldung: Das Zertifikat hat keinen Vertrauensstatus. Also ich die Zertifikate zusätzlich in den IE Speicher und mein Vertrauen ausgesprochen. Gleiches Ergebnis. Im TB kann ich zwar dem Root Zert mein Vertrauen aussprechen aber nicht meinemeigenen. :?::?::?::?::?::?::?::?:

    :flehan: Bitte aufrichtig um Hilfe :flehan:

    Hi Adler12,

    na dann wollen sich die Erlauchten mal gnädig herablassen (oder lassen wir das mit "denen" besser ab jetzt ... ?)

    Ich habe mich mit den Zertifikaten von web.de bislang nicht befasst, deswegen kann ich nur etwas theoretisch antworten.
    Zuerst sollten wir uns zum Verständnis auf folgendes einigen:

    "Zertifikat":
    Das ist der öffentliche (!) Schlüssel einer Person, einer techn. Einrichtung oder auch eines "Herausgebers" (Trustcenter). Der öffentliche Schlüssel wurde im Zertifikt noch mit diversen Identifikationsdaten ergänzt und mit dem geheimen Schlüssel des Herausgebers signiert. Mit dieser Signatur bestätigt der Herausgeber die Echtheit der Identifiktionsdaten und des öffentlichen Schlüssels. Das ganze wird in eine bestimmte Form gebracht. Endung in der Regel .cer oder.der, aber auch .pem und andere. Das Zertifikat ist immer frei verfügbar, also öffentlich.

    "Schlüsseldatei":
    Die Schlüsseldatei enthält deinen geheimen Schlüssel. Und zusätzlich mindestens dein Zertifikat. Und sie ist fast immer mit einem Passwort geschützt. Endung meist .p12 oder .pfx .

    Liege ich jetzt richtig, dass du von web.de eine persönliche Schlüsseldatei (pfx, p12) erhalten hast?

    Bedingung, dass es funktioniert ist, dass du zuerst das richtige (!) Herausgeberzertifikat importiert hast. Du solltest also deine Schlüsseldatei mit "Ansicht" öffnen und dir den Herausgeber ansehen. Hier kommt es auf exakte Angaben (also Name, aber auch die Gültigkeit) an. Und genau dieses Herausgeberzertifikat musst du unter Zertifizierungsstellen importieren und sofort das Vertrauen einstellen (=> Vertrauensanker setzen). Es kann ohne weiteres sein, dass dieses Herausgeberzertifikat noch ein übergeordnetes Zertifikat besitzt. Dieses erkennst du wiederum durch die Ansicht des selben. Wenn das zutrifft, musst du auch dieses installieren. Gerade bei den minderwertigen Kostnix-Zertifikaten ist da oft noch ein echtes root-Z. übergeordnet. Ein Trustcenter wird kaum Primitivzertifikate und "richtige" unter der gleichen root herausgeben wollen.

    Wenn das alles richtig gemacht wurde, dann siehst du hinter deinem eigenen Zertifikat auch den richtigen Verwendungszweck, also z. Bsp. "Unterschrift/Verschlüsseln". Erst dann funktioniert der Vertrauensbaum und du kannst das Zertifikat/den Schlüssel nutzen.

    Was meinst du mit "Desweiteren habe ich das DA ... installiert?

    Thunderbird benutzt einen völlig eigenen Kryptospeicher (auch "cryptografic serviceprovider" genannt) und ist vom MS-eigenen völlig unabhängig. (Warum wohl ...?) Deshalb macht es keinen Sinn, diesen zusätzlich zu nutzen. Es schadet aber auch nicht.
    Einem eigenen Zertifikat das Vertrauen auszusprechen macht auch wenig Sinn. Ich denke, das habe ich beschrieben (=>Vertrauensbaum).

    Ich hoffe, ich konnte dir etwas helfen.

    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!