TB verifiziert CAcert-Zertifikat nicht [erl.]

  • Hallo zusammen,


    Thunderbird 3.0.2 verifiziert meine CAcert-Zertifikate nicht, Firefox dagegen akzeptiert sie als SSL-Client- und -Server- sowie als E-Mail-Unterzeichner- und -Empfänger-Zertifikat.


    Ich habe mich heute erstmals bei CAcert angemeldet, meine .name-Domain registieren, mir zwei kostenlose Zertifikate für meine .name-E-Mail-Adressen erstellen lassen und die Zertifikate in Firefox sowie TB installiert. Auch die Root-Zertifikate Class 1 PKI Key und Class 3 PKI Keyvon CAcert habe ich in Firefox sowie in TB installiert. Firefox verifiziert meine Zertifikate, TB dagegen meldet: "Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden."


    Handelt es sich um einen TB-Bug? Kann mir jemand helfen?


    Gruß,
    Jan


    Ich nutze TB 3.0.2, Firefox 3.6 und Windows XP Home Edition.

  • PS: Dasselbe Problem tritt auch mit einem CAcert-Zertifikat für eine @online.de-Adresse auf. Firefox akzeptiert das Zertifikat, TB nicht. Die Ursache meines Problem scheint also nicht mit der .name-Domain zusammenzuhängen.


    Gruß,
    Jan

  • Hallo Jan,


    und willkommen im Forum!
    Also Thunderbird, in jeder VErsion ab 1.? bis 3.0.3 funktioniert(e) bei mit problemlos mit X.509-Zertifikaten.


    Hast du:
    - zuerst (!) das Herausgeberzertifikat importiert, und mit Bearbeiten ihm das Vertrauen eingestellt?
    - nach dem Import deiner pfx- oder p12-Dateien unter "Ihre Zertifikate" deren Herausgeber exakt mit den Herausgeberzertifikaten verglichen? (Seriennummer!)


    Was wird beim Öffnen der eigenen Zertifikate angezeigt? Sind es definitiv S/MIME-Zertifikate?
    Was verstehst du unter "verifiziert meine CAcert-Zertifikate nicht"? Thunderbird verifiziert hier nichts!
    Das einzige, was TB überprüft ist, ob das Userzertifikat auch mit dem entsprechendenden Herausgeberzertifikat (dessen private Key) signiert wurde. Es wird also exakt das richtige Herausgeberzertifikat benötigt.


    Stehen in deinen Kostnix-Zertifikaten die richtigen cn (Name, Vorname) und deine E-Mailadressen drin?


    Hast du in den Kontoeinstellungen unter S/MIME-Sicherheit 2x das richtige Zertifikat eingetragen (oder kommst du gar nicht so weit)?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    vielen Dank für die schnelle Antwort. Jetzt habe ich dem Herausgeberzertifikat auch das Vertrauen ausgesprochen - und zwar sowohl dem im Register "Server" als auch dem im Register "Zertifizierungsstellen" aufgelisteten Eintrag. Danke für den Hinweis. Das Problem bleibt aber trotzdem bestehen.


    Die Seriennummer des Herausgeberzertifikats ("00") stimmt keineswegs mit der Nummer meines Zertifikats überein (eine sechsstellige Folge von Ziffern und Buchstaben, unterteilt durch Doppelpunkte). Übrigens handelt es sich bei dem Herausgeberzertifikat um ein "SSL-Client-Zertifikat" (hat das eine Bedeutung für mein Problem?).


    Einen Hinweis auf "S/Mime" finde ich weder im Zertifikats-Manager unter "Ihre Zertifikate", noch, wenn ich mir über "Ansehen" die Details anzeigen lasse. Ich konnte bei CAcert.org nur zwischen Client- und Server-Zertifikat wählen und das Client-Zertifikat einer E-Mail-Adresse zuordnen. Ich habe mir ein "Client-Zertifikat" ausstellen lassen.


    Mit "verifizieren" meine ich: Wenn ich im Zertifikats-Manager über "Ansehen" die Details anderer Kostnix-Zertifikate anzeigen lasse, öffnet sich ein Fenster, indem ich lese: "Dieses Zertifikat wurde für die folgenden Verwendungen verifiziert: E-Mail-Unterzeichner-Zertifikat, E-Mail-Empfänger-Zertifikat". Rufe ich aber das CAcert-Zertifikat auf, heißt es: "Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden." Rufe ich nun in Firefox den Zertifikats-Manager und dort ein persönliches CAcert-Zertifikat auf, dann zeigt er mir: "Dieses Zertifikat wurde für die folgenden Verwendungen verifiziert: SSL-Client-Zertifikat, SSL-Server-Zertifikat, E-Mail-Unterzeichner-Zertifikat, E-Mail-Empfänger-Zertifikat". Also: Firefox akzeptiert das Zertifikat, TB nicht.


    In den Konto-Einstellungen unter S/MIME-Sicherheit habe ich zweimal das richtige Zertifikat eingetragen, aber wenn ich eine E-Mail signiert versenden will, kommt die Fehlermeldung: "Senden der Nachricht fehlgeschlagen. Kann Nachricht nicht signieren. Bitte überprüfen Sie, ob die Zertifikate, die für dieses Konto in den Konto-Einstellungen angegeben sind, gültig und vertrauenswürdig sind."


    Gruß,
    Jan

  • Hallo Peter,


    ich habe das Problem gelöst: Die Ursache war, dass ich das Herausgeberzertifikat zuerst fälschlich in TB im Zertifikats-Manager in der Registerkarte Server installiert und dort unter "Bearbeiten" dem Zertifikat das Vertrauen ausgesprochen hatte. (Immerhin hat die Zertifizierungsstelle einen Server - im Gegensatz zu mir ... :| ) Richtig ist aber, es in der Registerkarte "Zertifizierungsstelle" zu installieren und dort das Vertrauen auszusprechen.


    Vielen Dank für die gezielten Fragen, die mich nach einigem Nachdenken weitergebracht haben. Aber mal ehrlich: Wenn sich der Einsatz von E-Mail-Verschlüsselung flächendeckend verbreiten soll, muss die Installation irgendwie noch einfacher werden. Es müsste eine Installationsroutine geben, die den User durch alle benötigten Schritte führt.


    Gruß und Dank,
    Jan

  • Hallo Jan,


    freut mich, dass dein Problem gelöst werden konnte.
    Vielleicht noch einen Denkanstoß zu deiner letzten Frage. (Auch wenn ich genau dieses schon ein Dutzend mal hier geschrieben habe :-) )


    Unter "Herausgeber" sind im TB bereits viele gängige Zertifizierungsstellen ("CA", oder auch "Trustcenter" genannt) gelistet, welcher international anerkannt einen sehr hohen Sicherheitsstandard gewährleisten. Dabei geht es nicht nur um die bauliche und organisatorische Sicherheit, welche wirklich mir den Anforderungen an das RZ einer Bank zu vergleichen sind, sondern auch, mit welchem Aufwand und welcher Sicherheit dieses Trustcenter Personen identifiziert und deren Identität bestätigt.
    Das Trustcenter bestätigt also mit "seinem guten Namen" (=> seinem Herausgeberzertifikat), dass die im Zertifikat eingetragene Person (der cn) mit "an Sicherheit grenzender Wahrscheinlichkeit" authentisch ist. Dazu musst du dich als Antragsteller einer berechtigten Kontrollperson gegenüber ausweisen und in seinem Beisein unterschreiben. Eine Kopie deines Perso fällt auch noch an.
    Im Umkehrschluss kannst du dann mit dem von einem ordentlichen Trustcenter gekauften Zertifikat eine gerichtlich verwertbare elektronische Unterschrift (qualifizierte el. Signatur) unter ein Dokument setzen, welche zum einen bestätigt, dass exakt DU als natürliche und identifizierte Person dieses Dokument unterschrieben hast (=> Authentizität), und dass dieses Dokument auch exakt das ist, welches du unterschrieben hast (=> Integrität). So ganz nebenbei kannst du auch noch verschlüsseln.


    Und in jedem gängigen Browser bzw. Mailclient ist dann eine Reihe von Trustcentern bereits eingetragen, welche diese extrem hohen Anforderungen erfüllen. Der Produzent des Programmes übernimmt also die Arbeit dies zu überprüfen und auch diese Verantwortung gegenüber dem Nutzer.


    Wenn du also jetzt von einem Trustcenter ein Softwarezertifikat oder eine Chipkarte kaufst, dann musst du lediglich deine eigene Schlüsseldatei importieren bzw. vorher den Chipkartenleser installieren. Die Zertifikate der Mailpartner werden bei allen gängigen Browsern automatisch importiert, wenn du mit denen vorher eine lediglich signierte Mail austauschst.
    Auch das Zuordnen der jeweiligen Schlüsseldatei mit der du signieren und entschlüsseln willst zum jeweiligen Mailkonto kann dir kaum ein Assistent abnehmen. Trotzdem dauert das ganze nur wenige Minuten (und ist IMHO viel einfacher als mit GnuPG ...).


    Und jetzt kommen wir zu genau deinem Problem!
    Wurde von deinem Zertifikatsherausgeber eine Personenidentifikation vorgenommen? Musstest du dich irgendwo ausweisen, ein Protokoll unterschreiben welches ca. 35 Jahre unter hochsicheren Bedingungen gelagert werden muss, und für das ganze dann auch noch angemessen löhnen? Garantiert dein Herausgeber, dass du auch wirklich du bist?
    Nein!
    Und aus genau diesem Grund darf ein Herausgeber derartiger "Kostnix-Zertifikate" nicht von vornherein in einem Browser oder Mailclient unter "vertrauenswürdege Herausgeber" gelistet sein! Der Empfänger eines von einem derartigen Billigzertifikat unterschriebenen Dokumentes könnte sonst der irrigen Annahme unterliegen, dass die unterzeichnende Person tatsächlich authentisch sein muss. Und das darf nicht sein!


    Und genau deswegen musst du dir die Mühe machen, das richtige Herausgeberzertifikat zu suchen, herunterzuladen, manuell zu importieren und (ganz wichtig!) diesem bewusst das Vertrauen auszusprechen. (Ein Browser importiert das Herausgeberzertifikat i.d.R. automatisch, wenn du mit diesem Server eine Verbindung hast. Trotzdem wirst du nach dem Vertrauen gefragt!)
    Indem du das bewusst tust, weißt du, dass von diesem Herausgeber keine Personenidentifizierung durchgeführt wurde, eine unterzeichnende Person nicht unbedingt diejenige ist, die im Zertifikat als cn eingetragen ist.
    Dieser Aufwand ist also volle Absicht und dient einem guten Zweck, nämlich der Gewährleistung der Sicherheit!


    Jetzt kommen wir wieder zurück zur Praxis.
    Selbstverständlich ist ein derartiges Kostnix-Zertifikat für die private Mailverschlüsselung mehr als ausreichend. Von der kryptologischen Sicherheit her gibt es keinen Unterschied zwischen einem gekauften (Software-)Zertifikat und einem Kostnix-Exemplar. Bei beiden Varianten erzeugt der Browser des Antragstellers den geheimen Schlüssel und sendet nur den öffentlichen an das Trustcenter (Zertifikats-Request).
    Auch das Problem "der Echtheit der Person" darf man nicht so verbissen sehen. Der Mailpartner für die verschlüsselte Mail ist meistens bekannt. Da ruft man sich an und liest sich gegenseitig den Fingerabdruck des Zertifikates vor, und schon sind beide Personen "echt". Dann kann man auch mit ruhigem Gewissen den Haken für das Vertrauen setzen. Oder sogar Firmen geben ihren Fingerprint einfach auf ihrer Webseite an - und signieren Dokumente mit einem Kostnix-Zertifikat. (Zum Leidwesen der etablierten Trustcenter.)


    Und es gibt trotzdem noch eine Möglichkeit der Vereinfachung: Wenn ich abends nach meiner Arbeit in einem Trustcenter auf meiner kleinen "Privat-CA" noch für Familie, Freunde, Bekannte und diverse Forenmitglieder (eine ganze Menge ...) S/MIME-Zertifikate herstelle, dann organisiere ich das so, dass im Container der Schlüsseldatei (.pfx oder .p12) auch gleich noch meine Herausgeberzertifikate mit drin sind. Wenn der Nutzer also seinen eigenen Schlüssel importiert, hat er automatisch meine Herausgeberzertifikate importiert. Er muss also nur noch das Vertauen (in mich bzw. meine CA) einstellen. Das nimmt ihm niemand ab ... .


    OK?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!