TrustCenter Zertifikat und Thunderbird

  • Hallo Zusammen,


    das ist mein erster Beitrag hier und hoffe natürlich auf Hilfe...


    Im Grund genommen setze ich nicht direkt Thunderbird als Standard eMail Client ein sondern TheBat! :redface:


    Jetzt signiere und verschicke ich meine Mails mit einem Zertifikat von TrustCenter (Class I L1 CA VII), das auch soweit in Outlook und Outlook Express als gültig ankommt.
    Da ich aber einige Freunde habe die Thunderbird einsetzen, bekam ich von diesen mitgeteilt das es dort als nicht gültig erscheint. Daraufhin hab ich mir auf einem Testrechner selber Thunderbird installiert und das ganze mal getestet und kam ebenfalls zum Ergebnis, das egal was ich mache, jedesmal die Mail bzw. die Digitale Unterschrift als nicht gültig angezeigt wird. Die genaue Fehlermeldung lautet immer:


    "Diese Nachricht enthält eine digitale Unterschrift, aber die Unterschrift ist ungültig. Das zum Unterschreiben der Nachricht verwendete Zertifikat wurde von einer Zertifizierungstselle herausgegeben, der Sie für diese Art von Zertifikaten nicht vertrauen."


    Dazu sei gesagt, das ich jegliche Root und Sub Zertifikate installiert und alle 3 Häckchen auf Vertrauen gesetzt habe. Selbst wenn ich keine Root Zertifikate von TrustCenter in Thunderbird habe (bis auf die die schon drin sind) kommt immer diese Meldung. Eigentlich müsste dann eine andere Meldung bzw. Fenster kommen. Hab das auch mit einem Zertifikat von CACert.org getestet und dort war es anders. Hier bekomme ich ein Fenster, wo ich daraufhin sehe, dass evtl. nicht alle Root Zertifikate installiert sind. Nachdem ich dieses nachgeholt sprich diese installiert und vertraut habe, wurde das Zertifikat bzw. die digitale Unterschrift als gültig angezeigt. So müsste es doch auch beim TrustCenter Zertifikat sein... bin ehrlich gesagt, mit meinem Latein am Ende...


    Meine eingesetzte TB Version ist die 2.0.0.23...


    Über eure Antworten würde ich mich sehr freuen...


    Vielen Dank schonmal!


    MfG
    so-com

  • so, bin jetzt mal hergegangen und habe mein TrustCenter Zertifikat in TB importiert und eine signierte Mail an mich selber also via TB an TB geschickt...


    Ergebnis: Unterschrift ist gültig!


    Sprich, an den installierten und vertrauten Zertifikaten in TB kann es kaum liegen... der Fehler muss also in der Mail zwischen TheBat! an TB liegen...


    allerdings tritt das Problem nur beim TrustCenter Zertifikat auf, denn beim CACert.org Zertifikat via TheBat! funktioniert es?!


    Da Outlook (und Express) soweit auch gehen, bin ich immer noch der Meinung das es an TB liegt!

  • Hi so-com,


    und willkommen im Forum!


    Zwei Vorbemerkungen:
    1. Die elektronische Signatur mit X.509-Zertifikaten ist wohl der penibelste Vorgang, den es gibt. Die kleinste Ungenauigkeit, und schon wird eine Signatur als ungültig angezeigt. Und das ist auch vollkommen richtig und notwendig.


    2. Thunderbird arbeitet dabei völlig korrekt und unter Einhaltung der Vorschriften. Von TB gehen also die Probleme keinesfalls aus. Das belegen auch Tausende von signierten und verschlüsselten Mails, welche allein ich von meinem TB von bzw. zu Clients wie OE, TheBat!, Thunderbird, KMail und vielen anderen gesendet und Empfangen habe. Auch von bzw. zu professionellen Anwendungen wie Notes und Outlook traten in Verbindung mit S/MIME nie Probleme auf.


    Es kann und wird also an falschen Einstellungen liegen.
    Wenn du die mit einem beliebigen Client an dich selbst geschickten signierten Mails als gültig signiert empfängst, kannst du sicher sein, dass die Einstellungen in deinem Client korrekt sind.
    - Deine eigene Schlüsseldatei (beinhaltet dein Zertifikat und deinen priv. Schlüssel) ist gültig (Datum!) und wurde unter "Eigene ..." importiert;
    - das zu deinem eigenen Zertifikat passende Herausgeberzertifikat ist installiert;
    - diesem wurde das Vertrauen ausgesprochen (erforderlich, da Class1-Zertifikate von Hause aus nicht vertrauenswürdig sind!);
    - und dein eigenes Zertifikat ist korrekt deinem Konto zugeordnet


    Wenn das alles zutrifft, dann wird von jedem anderen Client deine Signatur auch als gültig erkannt, wenn
    - Sie nicht verändert wurde;
    - der Empfänger dein Zertifikat; (*)
    - und das richtige Zertifikat des Herausgebers installiert hat, welcher dein Zertifikat signiert hat;
    - und er diesem das Vertrauen ausgesprochen hat.
    (*) Muss bei der Signaturprüfung noch nicht einmal sein, da ein "intelligenter" Mailclient das Signaturzertifikat des Absenders automatisch importiert, so dass es nach der ersten empfangenen Mail schon automatisch importiert ist. => einfachste Form des Schlüsselaustausches.


    Meine Vermutung ist folgende:
    Bei den beliebten "Kostnix-Zertifikaten" ("Class1") wird die lt. SigG geforderte strenge Identitätsprüfung der Antragsteller nicht durchgeführt. Nur durch Verzicht auf diese personal- und kostenintensive Maßnahme ist es möglich, derartige Zertifikate zum Nulltarif zu verschenken. Diese Zertifikate eignen sich zwar hervorragend zur (privaten) Mailverschlüsselung, aber niemals zu einer ernst zu nehmenden el. Signatur! (Es sei denn, die Mailpartner haben auf einem anderen Weg vorher die Fingerprints ihrer Zertifikate verglichen.)
    Aus genau diesem Grund werden durch die Hersteller von (in dieser Hinsicht) ernst zu nehmenden Mailprogrammen grundsätzlich nur die Herausgeberzertifikate von Hause aus installiert, welche ihre Antragsteller nach den Regeln der jeweiligen nationalen Signaturgesetze identifizieren. Das bedeutet: erhältst du eine Mail, die mit einem Z. von Telesec, oder D-Trust usw. signiert wurde, kannst du mit Sicherheit davon ausgehen, dass die el. Unterschrift authentisch ist. Bei derartigen Clients werden aber niemals die Herausgeberzertifikate für die Signatur von "Kostnix-Zertifikaten" vorinstalliert! Ein unbedarfter Nutzer könnte sonst einer Täuschung unterliegen und eine damit signierte Mail ohne weitere Überprüfung als authentisch einstufen.


    Jetzt produzieren meine Hamburger Kollegen nicht nur (die kostenpflichtigen) Zertifikate für die qualifizierte bzw. fortgeschrittene el. Signatur (zur Erinnerung: gefordertes aufwändiges Verfahren zur Personenidentifizierung!), sondern auch die kostenlosen "Class1"-Zertifikate zu Testzwecken oder für private Anwender.
    Das bedeutet, dass ein Mailclient zwar Zertifikate des TC vorinstalliert mitbringt, aber eben "nur" die Zertifikate mit denen die Gültigkeit der qaulifizierten oder fortgeschrittenen Benutzerzertifikate überprüft werden kann. Und so ist es nicht nur bei Notes und anderen professionellen Mailprogrammen, sondern eben auch beim Thunderbird!
    Das bedeutet, dass TB-Nutzer (aus gutem Grund!) das Herausgeberzertifikat für die "Class1"-Zertifikate nachträglich und bewusst importieren und ihnen das Vertrauen aussprechen müssen. Durch diese bewusste Handlung kennt er eben auch das daraus entstehende Risiko.
    Und von den derartigen Herausgeberzertifikaten gibt es beim TC eben mehrere. Deshalb habe ich ganz oben das richtige bzw. zu deinem eigenen Zertifikat passende fett geschrieben.
    Hinweis: auch Herausgeberzertifikate haben einen Fingerprint und eine Zertifikatsnummer!


    Noch ein Hinweis: Es gibt auch Hersteller von (Mail-)Programmen, welche sich um das Vorgenannte nicht scheren und (wohl um teureren Support zu sparen?) einfach so die Herausgeberzertifikate von nicht vertrauenswürdigen Zertifikaten mit ausliefern. Für mich ist das eine Beihilfe zur Täuschung!


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    vielen Dank für Deine ausführliche Antwort...


    ich bin mir bewusst, das Class1-Zertifikate nicht mit Class 2 oder 3 vergleichbar sind, aber zur privaten Verwendung durchaus taugen und besser sind als eine Mail unsigniert rauszuschicken...


    das gleiche Thema hab ich im TheBat!-Forum auch angesprochen und nach einigen Experimenten herausgefunden, dass es irgendwie an den S/MIME Einstellungen in TheBat! zu tun haben muss, denn mit einer Umstellung funktioniert es auch mit TB:
    http://www.batboard.net/index.php/topic,10114.0.html


    Von daher denke ich das ich eher dort suchen bzw. im Bugtracker das melden muss!


    Sollte sich was ergeben, das hier interessant wäre mitzuteilen, werde ich natürlich das Thema weiterführen...


    Vielen Dank nochmal!


    MfG
    so-com