Zertifikate ohne Ausstellerzertifikat importieren

  • Ich möchte mit einem SMIME-Zertifikat verschlüsseln, zu dem ich das Ausstellerzertifikat nicht habe. Thunderbird erlaubt mir aber nicht, es zu importieren. Gibt es eine Möglichkeit, es trotzdem zu importieren? Ich weiß, daß das unsicher ist, aber immer noch besser als der anderen Person unverschlüsselt zu schreiben. - Bei M$ Ausschau ist das übrigens möglich. (Nach meiner Erfahrung scheitert bei vielen das Verschlüsseln am Nichtvorhandensein des Ausstellerzertifikates.)
    Ludwig

  • Hi Ludwig,


    ich sehe bei der Verwendung von X.509-Zertifikaten es als DAS Sicherheitsfeature an, dass der Vertrauensanker gesetzt sein muss, bevor ich ein Zertifikat importieren und nutzen kann. MS verbiegt dies zu Gunsten der Bedienbarkeit ... .


    Mir ist keine Lösung bekannt, dies auch beim TB zu machen, wobei ich all die vielen Einstellungen in der prefs.js nicht kenne. (Bei S/MIME würde ich auch keine Abstriche machen.) Aber ich weiß, dass es hier Experten gibt, die sich in den Tiefen des TB sehr gut auskennen ... .


    Was ich allerdings nicht verstehen kann, ist dein Problem.
    Vermutlich handelt es sich um ein selbstgeneriertes Zertifikat oder um eines von einem der beliebten "Kostnix-Anbieter", welche Zertifikate zu Werbezwecken oder für private Nutzung verschenken. Bei all den letzteren gibt es immer eine Webseite, wo ich mir deren Herausgeberzertifikate herunterladen kann. Es ist dort auch immer der Hashwert für die notwendige Überprüfung des Zertifikates angegeben, bevor ich diesem Herausgeber das Vertrauen ausspreche.
    Und handelt es sich um ein selbstgeneriertes Zertifikat (privat oder Firma), dann kostet es mich eine einzige Mail mit der Bitte, mir neben dem Nutzerzertifikat auch noch schnell das Herausgeberzertifikat zuzusenden. (Ein mitdenkender Absender macht das bei der ersten Kontaktaufnahme eh ... .)
    Und wenn auch der Herausgeber der Zertifikate mitdenkt, dann exportiert er die Nutzerzertifikate so, dass alle erforderlichen Herausgeberzertifikate gleich mit im Nutzerzertifikat enthalten sind (also "incl. Zertifikatskette"). Dann reicht ein gegenseitiges Versenden einer signierten Mail mit anschließendem Aussprechen des Vertrauens für die Herausgeberzertifikate aus.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Danke, Peter,
    bei MITDENKENDEN Leuten träte so ein Problem auch nicht auf. Dieser Fall war ein Einzelfall, der ein selbstgemachtes Zertifikat hatte, aber kein Ausstellerzertifikat dazu. Viel häufiger tritt der Fall auf, daß Leute ein eigenes oder fremdes Zertifikat nicht installieren können, weil sie nicht VORHER das Ausstellerzertifikat installiert oder ihm nicht das Vertrauen ausgesprochen haben. Deshalb ist es am einfachsten, ein kostenlose Zertifikate zu empfehlen, deren Ausgabeausstelle von Haus aus im Donnervogel enthalten ist. Bei Comodo ist das wohl der Fall. Schade das "Trustcenter Class 1" und "CAcert" nicht enthalten sind.
    Daniel

  • Es gibt gute Gründe, warum die beiden letzgenannten Herausgeber nicht bereits von Hause aus als vertrauenswürdige (!) Herausgeber eingetragen sind. Beim TC HH meine ich damit deren class1-Zertifikat, keinesfalls das TC als solches.
    Eigentlich dürfte überhaupt kein Herausgeber von Kostnix-Zertifikaten (richtiger: Herausgeber von Zertifikaten ohne Personenidentifizierung) irgendwo eingetragen sein. Denn damit wird das Hauptprinzip X.509 ausgehebelt.
    Die Begründung habe ich mindestens 2x im Forum beschrieben -> Suchfunktion.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Kannst du nicht erst das Ausstellerzertifikat importieren, dann dein eigenes und danach das Ausstellerzertifikat wieder löschen?

  • Selbstverständlich kannst du das.
    Wenn der Vertrauensanker (das Vertrauen in das Zertifikat des Herausgebers) nicht mehr vorhanden ist, dann funktionieren aber weder die eigenen noch die fremden Zertifikate. Es ist der gleiche Effekt, als wenn ein Zertifikat auf der Sperrliste steht.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!