TB will manchmal Zertifikat einfach nicht finden [erl.]

  • Hi,


    Es ist mir nun schon öfters passiert dass der TB meint er kann das Zertifkat eines Kommunikationspartners nicht finden und so kann ich keine verschlüsselten (S/MIME) Nachrichten schicken :-(


    Das Zertifikat ist aber definitiv da und korrekt. Ca. 10 mal kontrolliert: Einstellungen --> Zertifikate --> Zertifikate anderer Personen. Das betreffende Zertifikat existiert hier mit der identen Mailadresse an die ich schicken möchte und dem Zweck "Unterschrift, Verschlüsseln". Das parent Zertifikat wird akzeptiert ("The USERTRUST Network") und andere Zertifikate von dieser CA funktionieren.


    Bei "Bearbeiten" erscheint dass diesem Zertifkat vertraut wird, weil der CA vertraut wird und der Haken bei "Kann Mail-Benutzer identifizieren" ist gesetzt.


    Die genaue Fehlermeldung lautet: "Sie haben ausgewählt, diese Nachricht zu verschlüsseln, aber die Anwendung konnte kein Verschlüsselungszertifikat für user@example.com finden."


    Ich bin mir nicht sicher ob es damit zusammenhängt, aber das erste Mal habe ich das Mail mit dem Zertifkat von dieser Person an einem anderen Rechner (ebenfalls mit TB) empfangen auf dem das Verschlüsseln funktioniert.


    Auf diesem Rechner (meinem Hauptrechner) habe ich dann die Mail einfach angezeigt wodurch das Zertifikat automatisch in die Liste gerutscht ist (wie es m.E. auch sein soll).


    Ich habe schon versucht ob ich das Zertifikat manuell extrahieren und importieren kann aber nichts dazu gefunden.


    Hat jemand eine Idee an was sich der TB hier stößt?


    LG,
    divB

  • Hi divB,


    eine Idee habe ich nicht. Lediglich eine Bestätigung dessen, was du festgestellt hast. Ist mir auch schon mehrfach passiert - und hat sich dann wieder in Luft aufgelöst.
    Ich finde dann meinen Frieden, indem ich mir einrede, dass ich nicht alles verstehen muss ... . :-)
    (Obwohl ich es bei diesem Thema eigentlich müsste.)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Oje :-(


    Weisst du wenigstens wie ich dem TB zum "in die Luft auflösen" verhelfen könnte?


    Ich bin ja mit meinem Latein völlig am Ende was ich noch machen soll.


    Glaubst du kann es damit zu tun haben dass ich das erste Mail nicht direkt auf dem Rechner empfangen habe? (d.h. nicht als "Neues Mail" in der Inbox gelandet ist)


    lg
    divB

  • Geh des gibts ja net :-(


    Ich habs jetzt grad probiert und mir das Mail nochmal frisch geschickt. Ändert nix.


    Wenn ich auf "Sicherheitsoptionen anzeigen" gehe erscheint:
    Empfänger: "user@example.com"
    Status: "Nicht gefunden"


    Es ist aber definitiv in der Zertfifikatsliste drinnen und trusted :-( Google spuckt wirklich nichts aus ebenso wenig wie Bugzilla. Weiss jemand wie das genau auf Englisch aussieht dass ich versuchen kann da noch was zu finden?


    Leider stehts offenbar im Zusammenhang mit dem Profil. Erstelle ich ein neues geht alles. Aber das kann ich doch nicht machen, da sind ja alle Daten drinnen!


    Und nichtmal einen Bugreport kann ich ausfüllen weil sie da ja ein neues Profil fordern.


    Ich hab auch bereits versucht alle betreffenden Adressbucheinträge zu löschen etc.


    Gibts irgendwas was ich noch probieren kann? Irgendwelche Caches? Irgendwelche Zuordnungen? Irgendwas direkt aus dem Profil löschen?


    Bin für alle Ideen sehr dankbar!


    LG
    divB


    EDIT: Ich hab jetzt trotzdem einen Bugreport geschrieben, andere Möglichkeit seh ich ja nicht :-(

  • Hi,


    ich sagte ja schon, ich weiß auch nichts zu diesem Thema.
    Da bei mir so gut wie keine Mails mehr "offen" rausgehen, kannst du dir bestimmt vorstellen, wie wichtig das für mich ist, und wie intensiv meine Suche war und jedesmal wieder ist.


    Ich habe, werweißwieoft ... die Userzeritifikate, meine eigenen Schlüsseldateien, die Herausgeberzeretifikate usw. gelöscht und wieder installiert (danach ging es dann meist wieder).
    Ich habe auch den kleinen Bug im Zertifikatsmanager (Userzertifikate verschwinden nach dem Aussprechen des Vertrauens aus dem Bereich "Zertifikate anderer ..." und tauchen nach dem nä. Start des Z.-Managers unter "Websites" wieder auf) getestet, und bestimmte Problemzertifikate bewusst mit einem zusätzlichen Vertrauenseintrag versehen. Funktioniert natürlich auch, wenn sie unter "Websites" stehen.
    Ich habe auch Zertifikate verschiedener Anbieter genutzt, sogar meine eigenen öffentlichen von dem Trustcenter, in welchem ich meine Brötchen verdiene. (Hier weiß ich wirklich ganz exakt, wie sie produziert werden :-) )


    Aber eine reproduzierbare Ursache für den Gedächtnisverlust habe ich niemals gerfunden.


    Jetzt muss ich zur Ehrenrettung des Thunderbird zweierlei betonen:
    1. Ich weiß nicht mehr, wann es das letzte mal passiert war! Ist schon Monate her.
    2. Es kam vor. Aber niemals so oft, dass es mehr als störend war. Vielleicht bei 1-2 Prozent meiner Mails. Also jeder 50. bis 100. Sendung


    Kleiner Hinweis:
    Du musst nicht unbedingt ein komplett neues Profil anlegen!
    Es gibt vier Dateien, die du löschen kannst, und die automatisch neu angelegt werden. Es empfielt sich, diese immer gemeinsam zu löschen: cert8.db, key3.db, secmod.db und evtl. die signons.sqlite. Probiers mal damit. Aber lese dir vorher die Anleitung durch, damit du weißt, was du löschst.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Danke mal fuer den Hinweis! Leider scheint es so als ob auch genau diese Dateien wichtige Informationen in meinem Profil beinhalten.


    Eigentlich alle Dateien aber auch die cert8.db. Ich selbst hab 8 Zertifikate. Ok, diese kann ich zumindest backuppen und wieder importieren.


    Aber bei "Zertifikate anderer Personen" sind sicher 50 Zertifikate drinnen die ich ja nicht einfach so verlieren will und bei "Websites" ebenfalls eine Handvoll. Bei beiden sehe ich keine Moeglichkeit sie zu exportieren und wieder zu importieren.


    Natuerlich sind das oeffentliche Zertifikate aber muss ich mir die dann alle wieder muehevollst zusammensuchen?


    lg
    divB

  • Als kleines Edit: Ich habe nun:


    * cert8.db gebackuped
    * Die eigenen Zertifikate in eine p12 Datei gesichert
    * cert8.db geloescht
    * Beim naechsten Start ist alles in "Zertifikate" leer
    * Meine persoenlichen Zertifikate wieder importiert
    * Das betreffende signierte Mail angeschaut --> das Zertifikat wurde automatisch in die Liste aufgenommen.


    Nun findet er das Zertifikat und es scheint alles zu gehen. Offenbar ist irgendwas an dieser Datei kaputt.


    Grosses Problem: Meine schoene Sammlung an "Zertifikate anderer Personen" und "Websites" ist verschwunden :-( Gibt es dabei ebenso die Moeglichkeit diese zu exportieren und wieder importieren?


    LG
    Peter

  • Hi,


    also ich habe auch Zertifikate in der von dir genannten Größenordnung.
    Und die befinden sich, sowohl die eigentlichen Zertifikate - obwohl das hier nicht nötig ist - als auch die Schlüsseldateien in einem truecrypt-Container. Und obwohl unser User To***** :-) letztens sagte, dass "kein Mensch" bei einem Versionssprung sein Profil neu anlegt, so ist das für mich selbstverständlich. Je imap-Konto dauert es eine Minite, und die Zertifikate sind auch in 10 Minuten drin.


    Könnte das eventuell eine Ursache sein ..............................................................................dass ich kaum mal ein Problem mit meinen Profilen habe?
    Indirekt hast du das ja mit der gefundenen Lösung bestätigt.


    Du hast nicht ganz zufällig ein komplettes Backup deines Profils ... .? Wobei- es müsste eine der vier Dateien sein.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,


    Hmm ... kannst du das bitte nochmal erläutern? Irgendwie kann ich dir jetzt leider nicht mehr folgen.


    Ich habe das ganze Profil auch gesichert, ja, aber was bringt das?
    Was hat das mit älteren Versionen zu tun...und vor allem mit TreuCrypt? :-)


    LG
    Peter

  • Ich fange "unten" an:


    Jedes Zertifikat und jede Schlüsseldatei sichere ich in einem Truecrypt-Container. Damit kann ich sie jederzeit für eine weitere Installation benutzen. Damit ist "Die schoene Sammlung an "Zertifikate anderer Personen" und "Websites" " schnell wieder hergestellt.


    Mit einem gesicherten kompletten Profil kannst du jederzeit deinen Ausgangszustand wieder herstellen.
    Regel: Nie etwas am Profil herumbasteln, wenn du nicht vorher eine Sicherung gemacht hast.
    Du musst ja auch nicht immer das komplette Profil zurücksichern. Mitunter reichen bei einem Problem einzelne Dateien, wie das Adressbuch oder eben auch die von mir erwähnten 4 Dateien.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Ahh, ok.


    Aber dennoch bleibt die Frage offen: Wie bekommst du die "Zertifikate anderer Personen" aus dem Thunderbird raus? du kannst sie nicht in eine Datei exportieren! Du kannst die Zertifikate auch bei einem Mail nicht als Datei speichern.


    Die einzige Moeglichkeit die ich derzeit sehe ist fuer alle Zertifikate die ich drinnen hab ein Mail suchen, anzuschauen (damit die Zertifikate gespeichert werden) ... aber das ist sehr milde gesagt : Umstaendlich.


    LG
    divB

  • Nun, wenn man die Zertifikate, so wie ich beschrieben habe, vorher sicher abspeichert, gibt es dieses Problem nicht ... .
    Ansonsten hilft dir die Erweiterung "CertViewerPlus".


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • 1.) Ich glaub wir drehen uns hier im Kreis ;-) Wie "vorher sicher abspeichern" wenn sie der TB nicht exportieren laesst? Um genau das dreht sich ja die ganze Zeit meine Frage. Zertifikate anderer Personen werden automatisch in den Zertifikatestore eingetragen wenn man ein signiertes Mail empfaengt


    2.) Aber vielen Dank, mit "CertViewerPlus" hast du die Loesung geliefert! Das ding kann es! Leider nur jedes Zertifikat einzeln aber es geht zumindest.


    3.) In diesem Zusammenhang hab ich auch die Loesung gefunden!!! CertViewerPlus zeigt naemlich brav alle Mailadressen an, das Original nur die erste so ist mir entgangen dass doch noch ein Zertifikat fuer die zweite Person (als sekundaere Mailadresse) existiert hat. Unter folgenden Umstaenden gibt es also definitiv einen Bug im Thunderbird:


    * Man nehme ein Zertifikat fuer Max Mustermann, Mail foo@example.com. Als zweite Adresse trage man bar@example.com ein (wie es bei den Thawtezertifikaten moeglich war)
    * Man lasse dieses Zertifikat ablaufen
    * Und erstelle ein neues, diesmal nur fuer bar@example.com


    Unter diesen Umstaenden findet der TB das neue nicht. Der Bugreport existiert (https://bugzilla.mozilla.org/show_bug.cgi?id=531073) aber ich bin neugierig ob sich da was tun wird.


    Mir kommt vor die S/MIME Unterstuetzung ist komplett auf wackeligen Beinen, ein Trauerspiel fuer einen Opensourceclient wie TB. (z.B. kann man nicht festlegen an wen man verschluesselt senden will bzw. signieren will)


    Herzlichen Dank jedenfalls fuer die Tipps die mich zur Loesung gebracht haben!

  • Hi divB,


    "divB" schrieb:

    1.) 2.) Aber vielen Dank, mit "CertViewerPlus" hast du die Loesung geliefert! Das ding kann es! Leider nur jedes Zertifikat einzeln aber es geht zumindest.


    Und genau so mache ich es.
    Aber eben vorher, bevor mal was passiert :-)
    Du hast Recht, wir haben uns im Kreis gedreht.
    NB: Für diesen Zweck betreibe ich einen kleinen ldap-Server, der neben allen Mail- und Postadressen, Telefonnummern usw. auch die Userzertifikate speichert. Ein Verzeichnis für alles und für überall, egal wo ich bin. Zur Zeit läuft das Teilchen noch auf einem uralten Notebook ohne Deckel, in Bälde wird er neben einigen anderen bereits vorhandenen nützlichen Diensten auf meiner Fritz-Box laufen. Selbstverständlich nur die Zertifikate, also die öffentlichen Schlüssel. Und selbstverständlich only TLS ... . Ich speichere meine Adresse ja auch nicht bei g**g**!



    "divB" schrieb:


    3.) In diesem Zusammenhang hab ich auch die Loesung gefunden!!! CertViewerPlus zeigt naemlich brav alle Mailadressen an, das Original nur die erste so ist mir entgangen dass doch noch ein Zertifikat fuer die zweite Person (als sekundaere Mailadresse) existiert hat. ...


    Kennst du einen kommerziellen MUA, welcher korrekt mit Zweitadressen in einem Zertifikat umgehen kann? Ich nicht. Und ich kann behaupten, dass ich so ziemlich alles auf dem Markt hinsichtlich Kompatibilität mit S/MIME getestet habe. (Bei der Gelegenheit bin ich privat beim Thunderbird hängen geblieben.)
    Deshalb verwendet auch niemand, der sich ernsthaft mit S/MIME befasst ein Z. mit einer Sekundäradresse. Ja, Geiz ist geil (sagt man), aber nicht immer gut. (Ich habe vier Zertifikate auf meiner Chipkarte - aber keines mit einer Sekundäradresse.)


    "divB" schrieb:

    Mir kommt vor die S/MIME Unterstuetzung ist komplett auf wackeligen Beinen, ein Trauerspiel fuer einen Opensourceclient wie TB.


    Jeder hat das Recht auf eine eigene Meinung ... . Ich akzeptiere sogar die Meinung, welche in der vorletzten c't stand (sinngemäß: TB ist der beste aller schlechten Universalmailclients ..."). Ob das deshalb als "wackelig" zu bezeichnen ist, wage ich zu bezweifeln. Jedenfalls habe ich ein Opensource-Produkt, wo ich mir auch den Quellcode "der Kryptologie" ansehen kann viel lieber, als ein proprietäres Produkt, wo ich dem Hersteller glauben muss. In meinem Berufszweig ist "Glauben" an dieser Stelle nicht zulässig ... .


    "divB" schrieb:

    (z.B. kann man nicht festlegen an wen man verschluesselt senden will bzw. signieren will)


    Dann nenne mir bitte einen kommerziellen MUA, welcher das von Hause aus kann.
    Mit dem sehr guten Add-on "Virtual Identity" macht das im Übrigen der TB ausgezeichnet! Du kannst (neben vielen anderen Einstellungen!) für jeden einzelnen Kontakt (!) festlegen, ob Reintext oder Klickibunti, mit welchem Absender, ..., und auch ob signiert und/oder verschlüsselt. Was willst du mehr.
    Ich bezeichne es immer noch als einen echten Vorteil beim TB, dass er Features, die nicht jeder benötigt, nicht von Hause aus mitbringt und die auf Wunsch mit Add-ons nachinstalliert werden können. Ich als jemand, der fast alle Mails verschlüsselt empfängt und sendet, habe allein für S/MIME vier Add-ons installiert.


    "divB" schrieb:

    Herzlichen Dank jedenfalls fuer die Tipps die mich zur Loesung gebracht haben!


    Gern geschehen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi,


    Zum LDAP Server kannst du mir mal genaueres verraten :-) Ich habe schon einen am Laufen, allerdings als Ausgangsbasis fuer die Logins auf meinen Servern (OpenLDAP). Funktioniert das gut? Ich hab hier immer die Angst dass nicht alle Felder unterstuetzt werden etc. Adressen habe ich bis jetzt leider immer direkt in Outlook gespeichert wegen der leidigen Synchronisation mit Windows CE :(
    Wie lautet dein DN wegen dem Aufbau (kannst naterlich anonymisieren). Ich glaube es ist sinnvoll einen eigenen Baum dafuer anzulegen und nicht zu den Benutzeraccounts vom ganzen Netzwerk dazuzutun oder?


    MUA kenne ich natuerlich keinen anderen ausser Outlook und von dem hab ich die Nase gestrichen voll. Aber das mit dem Add-On hoert sich super an, werde das mal in Betracht ziehen!


    Wie lauten denn die anderen der 4 Add-Ons fuer S/MIME ;-)


    LG
    divB

  • Hi,


    wegen des ldap werde ich wohl mal einen eigenen Threat aufmachen. Sonst wird es hier OT.


    Meine Add-ons für S/MIME sind:
    - CertViewerPlus => habe ich auch gerade als "Card Viewer Extended" gefunden, n.n. getestet unter diesem Namen
    - ViewYourCertificatesEmailAdress => jetzt als "Zeige E-Mail-Adresse für Ihre Zertifkate" downloadbar
    - Virtual Identity
    - S/MIME Sicherheit für weitere Identitäten
    - CRL over LDAP => das habe ich heute das erste mal gesehen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Ich habe dasselbe Problem: Mein Thunderbird 3.0 findet das Zertifikat des Empfängers nicht, wenn ich einen verschlüsselten Ebrief abschicken möchte. Auch bei mir ist es ein Zertifikat von "The Usertrust" (Comodo). Ich habe den ganzen Faden gelesen, aber mir ist nicht klar geworden, wie ich jetzt das Problem lösen kann. Könnt Ihr mir das sagen? Zertifikate mit Zweitadresse habe ich weit und breit keine.


    Andere berichten, daß sie mir mit meinem Comodo-Zertifikat nicht verschlüsselt schreiben können.


    Ich verwende Comodo-Zertifikate, weil es die einzigen kostenlosen, die ich kenne, sind, für die der Empfänger kein Ausstellerzertifikat installieren muß. Ich weiß, wieso das weniger sicher ist, aber dafür kann ich so die Leute leichter zum Verschlüsseln bringen.


    Dankend und ratlos, Ludwig

  • Hallo Ludwig,


    Nein das stimmt nicht, es gibt noch etliche andere Anbietet, u.a. StartSSL, mein Favorit.


    Zu deinem Problem: Ich habe es bei mir so eingegrenzt dass das Problem auftritt wenn für den Empfänger zwei Zertifikate in der Liste enthalten sind. Das kann passieren wenn du mit "Hans Wurst" 2 Jahre kommuniziert hast. Auf einmal läuft das Zertifikat von Hand ab, er holt sich ein neues und schickt es das nächste Mal mit wodurch es von Thunderbird automatisch installiert wird.


    Kontrolliere einfach genau ob in der Liste mit den Zertifikaten für deinen Empfänger nur ein einziges vorhanden ist!!


    LG
    divB

  • Danke, das ist die Lösung! Vielleicht passiert das, wenn Thunderbird mal gleichzeitig zwei verschiedene gültige Zertifikate für eine Anschrift hat. Man kann dann ja auch nicht einstellen, welches TB zum Verschlüsseln verwenden soll.
    Danke auch für den Hinweis auf StartSSL. Ludwig