Zertifikate wurden nicht mit OSCP validiert

Hi chwenig,

und willkommen im Forum.
Gleich vornweg: Meinen Beitrag in den FAQ zum Thema kennst du? (Ich will nur vermeiden, dass ich im Urschleim anfangen muss.)

Welche Einstellung ist denn bei dir hinsichtlich ocsp eingetragen? Von allein greift TB auf keinen ocsp-Responder zu. Mir ist auch völlig neu, dass bei einem Kostnix-Zertifikat vom TC Hamburg eine ocsp-Validierung erfolgt.
Also: ocsp nicht für ... einstellen.

MfG Peter

Zitat von "Peter_Lehmann"

Hi chwenig,

und willkommen im Forum.
Gleich vornweg: Meinen Beitrag in den FAQ zum Thema kennst du? (Ich will nur vermeiden, dass ich im Urschleim anfangen muss.)

Welche Einstellung ist denn bei dir hinsichtlich ocsp eingetragen? Von allein greift TB auf keinen ocsp-Responder zu. Mir ist auch völlig neu, dass bei einem Kostnix-Zertifikat vom TC Hamburg eine ocsp-Validierung erfolgt.
Also: ocsp nicht für ... einstellen.

MfG Peter

TB 2.0.0.19 / Win XP Pro
Guten Tag auch,

auch ich schlage mich mit dem hier genannten Problem herum (Zertifikat vom TC angefordert, erhalten und installiert, in den TB übernommen, das Konto damit verknüpft und alle "Vertrauensfragen" angehakt), jedoch kommt immer beim Versuch, eine Testmail nur "signiert" zu verschicken, wiederkehrend die Fehlermeldung: "Senden der NAchricht fehlgeschlagen. Kann Nachricht nicht signieren. Bitte überprüfen Sie, ob die Zertifikate, die für dieses Konto in den Kontoeinstellungen angegeben sind, gültig und vertrauenswürdig sind". Aber das hatte ich mehrfach bereits überprüft, sie sind alle angehakt.
Außerdem kommt der Hinweis wie beim Vorgänger, "Zertifikate wurden nicht mit OSCP validiert."

Ich brauche auch noch den ganz banalen Tip, wie ich da "OSCP für ... einstellen", wie ich genau dies machen kann, ich finde keine Einstellung dazu in den erweiterten Einstellungen des TB, oder wo genau muß ich da suchen? Schließlich, den Beitrag von Herrn Lehmann (Mailverschlüsselung mit S/MIME) kenne ich, er war für mich ebenfalls die Richtschnur beim Versuch der Installation. Wer weiß Rat, ich danke im Voraus.

Hi Moritz,

mir ist nicht bekannt, dass das Trustcenter HH einen ocsp-Responder betreibt. Es werden, soweit ich weiß, lediglich Sperrlisten (crl) angeboten. Auch in den Herausgeberzertifikaten sind nur die crl-Verteilungspunkte angegeben.

Das bedeutet, dass du zwar jederzeit die o.g. crl-Verteilungspunkte in den Thunderbird unter crls ... eintragen kannst, aber unter OCSP sollte immer die erste Variante (... nicht ... verwenden) aktiviert sein.

Erklärung:
In Sperrlisten werden vor Ablauf der Gültigkeit gesperrte Zertifikate eingetragen (Verluste, Kompromittierungen usw.). Der Client schaut, wenn crl aktiviert, immer nach ob das Zertifikat dort nicht eingetragen ist.
Beim der Aktivierung ocsp sendet der Client bei jeder Überprüfung eine Anfrage an den ocsp-Responder und erhält von ihm blitzschnell eine Antwort welche lautet "good", "bad" oder "unknown". Dafür spart sich der Client das regelmäßige Herunterladen der Sperrlisten.
Thunderbird hat aber einen kleinen Bug: Er holt sich nicht automatisch die Sperrlisten ab. Aber das TC HH bringt so selten Sperrlisten raus, dass das auch kein Problem sein dürfte.

Aber alles das wird nicht die Ursache deines Problems sein. Ich wette, du hast nicht das richtige Herausgeberzertifikat importiert. Es muss eine "Vertrauenskette" bestehen. Also schau dein eigenes Zertifikat an und notiere dir genau die Zertifikatsnummern der in der Zertifikatshierarchie deinem eigenen Z. vorgelagerten Herausgeberzertifikate. Und dann schau unter Herausgeber nach, ob du genau dieses findest. Und falls darüber noch eines steht, natürlich auch dieses.

MfG Peter

Aber alles das wird nicht die Ursache deines Problems sein. Ich wette, du hast nicht das richtige Herausgeberzertifikat importiert. Es muss eine "Vertrauenskette" bestehen. Also schau dein eigenes Zertifikat an und notiere dir genau die Zertifikatsnummern der in der Zertifikatshierarchie deinem eigenen Z. vorgelagerten Herausgeberzertifikate. Und dann schau unter Herausgeber nach, ob du genau dieses findest. Und falls darüber noch eines steht, natürlich auch dieses.

MfG Peter[/quote]

Lieber Peter,

vielen Dank für die schnelle Antwort und ich ahne eher, als daß ich es genau weiß, daß Deine "Wette" bzgl. des richtigen Herausgeberzertifikats bestimmt richtig ist. Nur: irgendwie hab ich das Gefühl, ich stehe wie der Ochs vorm neuen Tor und weiß nicht, wie ich da zu Potte kommen soll.

Also: Mein eigenes Zertifikat finde ich im TB über EXTRAS/EINSTELLUNGEN/ERWEITERT/ZERTIFIKATE/IHRE ZERTIFIKATE, dort ist nur eine Ebene unter dem Trust Center enthalten, die mein eigenes Zertifikat anzeigt. Meinst Du nun mit "Zertifikatsnummer" die Seriennummer? Diese kann ich mir ja über "ANSICHT" auch sofort angucken, eine aus 30 Zeichen bestehende kryptische Buchstaben-Ziffern-Kombination. Auf dieser Karteikarte steht ja oben auch anschaulich: "Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden"

In diesem Zertifikatsmanager gibt es ja außerdem die Karteikarten "Zertifikate anderer Personen", "Websites" und "Zertifizierungsstellen". Unter "Websites" finde ich auch sofort das Trustcenter wieder, kann mir auch dort über "Ansicht" die Seriennummern anschauen und stelle natürlich andere fest, als die meinige. So. Und nun verlassen sie mich. Ich habe x-fach probiert, diese Trust-center Zertifikate im TB zu importieren, die Probe auf's Exempel, nämlich eine "signierte" Testmail zu verschicken, endet jedoch wieder mit der bekannten Fehlermeldung. Mir fehlt irgendwie der letzte Schritt, Deinen Ratschlag oben umsetzen zu können. Vielleicht kannst Du mir ja diesen berühmten "Trick 17" noch verraten? Danke erstmal!

Du bist schon nahe dran ... .

Um ein Muster zu haben, habe ich mir mal schnell ein Zertifikat von den dortigen Kollegen geholt ... .
Wenn du dir dein eigenes Zertifikat anschaust, dann siehst du im Zertifikatsmanager unter "Details" den so genannten "Vertrauensbaum".

- ganz oben steht: TC TrustCenter Class 1 CA - TC ..... GmbH
- darunter steht: TC TrustCenter Class 1 L1 CA 6
- und darunter: Dein Name

Das oberste Zertifikat (lange Gültigkeit, 1998 bis 2011) hat die Seriennummer 03:E9.
Das zweite (kürzere Gültigkeit, 18.07.2008 bis 31.12.2010) SNr.: 00:94:B0:00:01:00:02:62:8D:B5:1F:6E:EC:72:64
und dein eigenes Zertifikat hat wieder eine Gültigkeit und eine Seriennummer, die ich natürlich nicht kenne.
(Diese werte gelten für mein Zertifikat, können aber müssen nicht bei dir zutreffen!)

#############
So jetzt muss ich erst einmal unterbrechen. Kontrolliere mal bei dir diese Daten und schreibe sie auf. Nicht antworten, ich schreibe dann an dieser Stelle weiter.
P.

So, jetzt gehts weiter.

Wenn du die benötigten Zertifikate notiert hast, schaust du unter Herausgeber nach. Du musst vom TC Trustcenter genau die beiden in deinem eigenen Z. vorgefundenen Zertifikate installiert haben. Also diese öffnen und die Seriennummern genau überprüfen. Zuviele installierte Herausgeberzertifikate schaden natürlich nicht.

Ich muss zugeben, dass die Zertifikatsbezeichnungen bei meinen Hamburger Kollegen mitunter etwas irreführend sind. Da lädt man sich schnell mal ein falsches runter ... .
Dann das Vertrauen einstellen und jetzt müsste es eigentlich funktionieren.

Das klingt alles etwas kompliziert. Es ist auch komplizierter, als es sein muss.
In jedem (nennenswerten) Browser und Mailprogramm werden bereits von Hause aus die Herausgeberzertifikate der etablierten Trustcenter mitgeliefert. Es gibt sogar regelmäßige Updates, wo auch die Zertifikate auf den neuesten Stand gebracht werden. Hier übernimmt der Entwickler dieser Programme die Verantwortung, nur vertrauenswürdige Trustcenter aufzunehmen. Und das ist eine recht überschaubare Größe. Und diejenigen, die nach den Signaturgesetzen der einzelnen Staaten zertifiziert sind, kann man guten Gewissens aufnehmen. In Deutschland gehört u.a. neben D-Trust, Telesec auch das TC Hamburg dazu.
Aber: Das TC HH gibt als kostenloses Werbeangebot auch die Class1-Zertifikate heraus. Kryptologisch ist das alles in Ordnung und das Class1 ist einem (Software-)Zertifikat für "fortgeschrittene Signaturen" völlig ebenbürdig (wohlgemerkt, kryptologisch!). Was bei den Class1 total fehlt, ist die "sichere Identifizierung" der Antragsteller. Hier kann jeder unter einem Fantasienamen und gültiger Mailadresse sein Zertifikat bestellen. Dieses ist unter Freunden auch absolut ausreichend - aber nicht für eine elektronische Signatur gegenüber Unbekannten und schon gar nicht im Rechtsverkehr! Und damit ein Dokument oder eine Mail mit elektronischer Signatur (Class1) von einem Unbekannten nicht als gültig angezeigt wird, sind die Herausgeberzertifikate für die Class1 eben nicht von vorn herein in den Programmen enthalten. Wenn du das als Anwender nachträglich machst, dann tust du das bewusst und kennst auch die eventuellen Gefahren.

So, nun hoffe ich mal, dass dein Problem gelöst ist ... .

MfG Peter

Guten Abend Peter,

ich danke sehr herzlich für die ausführlichen Erläuterungen. Heute werde ich es wohl nicht mehr schaffen, diese umzusetzen, aber gleichwohl möchte ich "auf die Schnelle" noch 2 Hinweise nachtragen:

Du schreibst im ersten Teil deiner Antwort vom "Vertrauensbaum", ich darf zitieren:

- ganz oben steht: TC TrustCenter Class 1 CA - TC ..... GmbH
- darunter steht: TC TrustCenter Class 1 L1 CA 6
- und darunter: Dein Name

So ist dieser in meinem Zertifikat leider nicht abgebildet, meiner lautet:

-ganz oben: TC TrustCenter GmbH (Nichts weiter!)
-und dann gleich eine Ebene/Zeile drunter: <Mein Name> Kryptografie Modul unbekannt 00:D3:27:00.... (es folgt die Seriennummer)

Also da gibt es schon eine signifikante Abweichung.

Wie gesagt, ich werde es heute nacht nicht mehr schaffen, mich darum weiter zu kümmern. Aber dennoch der Hinweis: Ich hatte mich schon vor längerer Zeit mit Verschlüsselung beschäftigt und eine zeitlang PGP eingesetzt, bin dann aber nicht mehr am Ball geblieben, weil mein Kontakt zu dem diesbezüglichen, hauptsächlichen Bekannten etwas eingeschlafen war. Dann kam ein PC-Kauf dazwischen und ich hatte alle meine PGP-Schlüssel verloren, ist halt passiert. Nun dachte ich, es sei doch viel einfacher, die sozusagen im TB eingebaute S/MIME Signatur bzw. Verschlüsselung zu nutzen, wenn man dafür auch unter kryptologischen Gesichtspunkten den evtl. problematischen Erwerb eines auswärtigen Zertifikats in Betracht ziehen muß. Ich hielt dies dennoch für einfacher, als mich wieder mit PGP "beschäftigen zu müssen".

Nun habe ich parallel zu meinen Versuchen hier und deinen zwischenzeitlichen Erläuterungen gerade auch durch das Forum hier entdeckt, daß man TB mittels GnuPG und vor allem Enigmail die Vorteile beider Systeme sozusagen verbinden kann: Ich kann einerseits selbst Schlüsselpaare erzeugen und benötige dafür keine auswärtige CA, bin also Herr meiner eigenen Schlüssel (GnuPG) und lasse andererseits aber elegant und im Hintergrund über den nun im TB eingebauten Button OpenPGP die Signierung bzw/und/oder Verschlüsselung ablaufen. Ich finde dies sehr überzeugend und habe keinerlei Probleme mehr beim Testen dieser 2. Variante hier gehabt. Ich glaube, dabei werde ich bleiben.

Ich hoffe nun sehr, daß Du deine Arbeit mir mir nicht als umsonst betrachtest, immerhin gibt es genug Leser hier, denen mit den Erkenntnissen hier auch geholfen ist bzw. werden kann.

Beste Grüße aus dem Berliner Umland
Thomas (Moritz 1120)

Hi Thomas,

ich betrachte meine Arbeit nie als umsonst ... .

Allerdings muss ich dich in einem Punkt ganz klar korrigieren:
Auch bei der Verwendung von X.509-Zertifikaten bist DU der Herr deiner Schlüssel, generiert DEIN PC deine Schlüssel und verlässt dein private key niemals deinen Rechner (wenn wir den Export und die immer notwendige Sicherung mal außer acht lassen.)
Das ist so, auch wenn du es, so wie es aussieht, bis jetzt noch nicht verstanden hast ... .

Aber wichtig ist, und da sind wir uns wieder einig, dass du durch Verschlüsselung deine Privatsphäre schützt. Noch dürfen wir es ... .

MfG Peter