Zertifikat wird nicht vertraut.[Gelöst]

  • Hi Peter, jetzt bin ich hier.


    Ich verwende TB 3.0.4 mit pop unter WinXP.
    Also nochmal zu meinem Problem, ich habe eigentlich alles so gemacht wie im Wiki steht und doch scheint dem Zertifikat kein Vertrauen ausgesprochen zu werden. Das wird wohl auch der Grund sein, warum an mich selbst gerichtete Testmails (nur signierung)mit angehängtem s/mime.p7s kommen?


    Das CA Zertifikat ist von der amtlichen AT-Behörde "A-Cert" (Arge-Daten Globaltrust) ausgestellt und wurde von mir auch eingebunden.
    Bei dem steht unter "Ansehen" das es für 43Rubriken zertifiziert wurde und der Status ist Responder-Zertifikat.
    Was mir unter meinem Zertifikat noch auffiel obwohl unter meine Zertifikate es unter Arge-Daten steht, ist unter "Ansehen" das in der Hierachie nur meins drin steht,


    Unter Kryptokraphie-Modul steht bei mir nicht das "Builtin" sondern "Software-Sicherheitsmodul"


    Update:
    Es scheint wohl so zu sein, dass es noch ein Zwischenzertifikat in der Kette gibt, jedoch taucht das nirgends auf.
    Aussteller meines Zertifikats ist CN:A-Cert Client, O: ARGE-DATEN, im Zertifinierungsserver taucht aber nur das CN; Globaltrust O: ARGE-DATEN auf.
    Sehe ich das richtig, oder stimmt alles?




    Grüße
    Timm

    Einmal editiert, zuletzt von timmbo ()

  • Hi,


    ich antworte mir mal selber, da ich nun einen Schritt weiter bin.
    Man das war jetzt ne Aktion, das soll ein normaler User verstehen.
    Ich habe mir jetzt mit einem anderen Programm eine signierte Mail geschickt, da war dann als Anhang die Datei smime.p7s dabei, dieses habe ich nun in TB installiert, da war dann auch das fehlende A-Cert.Client Zertifikat dabei und lies sich anstandslos installieren, nun ist die Kette komplett. Aber wenn ich jetzt eine Mail an mich selbst schreibe, bekomme ich immer noch als Anhang die p7s Datei und der Text der E-Mail ist nun grau, nicht schwarz.



    Grüße
    Timm

  • Hi Timm,


    nun heiße ich dich auch im im TB-Forum willkommen ;-)
    Also "eine Aktion" ist es nicht. Man muss es nur richtig machen ... .


    Zuerst zu: "Unter Kryptokraphie-Modul steht bei mir nicht das "Builtin" sondern "Software-Sicherheitsmodul"
    Erklärung:
    Bevor mit einem X.509 Userzertifikat irgend etwas funktioniert, muss dem Herausgeberzertifikat dieses Userzertifikates das Vertrauen ausgesprochen sein. Wir sprechen auch vom "Setzen des Vertrauensankers".
    Vertrauen heißt in diesem Falle, dass der Herausgeber (das Trustcenter):
    - den extrem hohen Sicherheits- und IT-Sicherheitsanforderungen an ein Trustcenter genügt, und
    - er garantiert, dass die im Zertifikat genannte Person sicher identifiziert wurde. (=> Policy des Trustcenters)
    Bei den in einem Browser oder Mailclient oder sonstiger Technik von Hause aus mitgebrachten vertrauenswürdigen Herausgebern übernimmt der Hersteller der Software diese Verantwortung. Zumeist nach "Aktenlage". Diese Herausgeberzertifikate sind "Builtin" und ihnen ist durch den Herausgeber bereits das Vertrauen ausgesprochen worden.
    Wenn der Nutzer bewusst weitere Herausgeberzertifikate installiert, dann werden diese im "Software-Sicherheitsmodul" gespeichert. Hier muss der Nutzer diesen Zertifikaten mit "Bearbeiten" bewusst das Vertrauen aussprechen.


    Gerade wenn Nutzer die beliebten "Kostnix-Zertifikate" der etablierten Trustcenter zur Mailverschlüsselung nutzen, gibt es keinerlei Garantie, dass die im cn eingetragenen Personen authentisch sind! Zur Verschlüsselung sind diese Z. voll geeignet, für Zwecke der Signatur aber nur bedingt, oder zumindest erst nach Austausch des Hashwertes usw.
    Und genau deswegen muss bei Kostnix-Zertifikaten der Nutzer ganz bewusst diese Zertifikate manuell importieren und ihnen das Vertrauen aussprechen.


    Auch wenn der Herausgeber deines Zertifikates ein amtlich anerkanntes Trustcenter ist, so heißt das noch lange nicht, dass du genau das Herausgeberzertifikat importiert hast, welches dein Nutzerzertifikat signiert hat! Jedes Trustcenter hat je nach Klasse des Zertifikates mehrere Herausgeberzertifikate, um genau das o.g. sicherzustellen. (Zertifikate zur Erzeugung qualifizierter Signaturen, fortgeschrittener Signaturen, Kostnixzertifikate ohne rechtliche Bedeutung, aber auch der jährliche Wechsel der Herausgeberzertifikate ist üblich)


    ==> Exakt überprüfen, welches Herausgeberzertifikat in deinem Userzertifikat eingetragen ist und ebenso exakt mit dem von dir importierten Herausgeberzertifikat überprüfen. (Prüfsumme oder genauer Name) Oder du importierst einfach gleich alle, die auf der Webseite des Trustcenters angeboten werden. Schadet nichts. Vergiss nicht, das Vertrauen einzustellen!


    Erst wenn du bestätigen kannst, dass dein Userzertifikat (unter Ihre oder Eigene Zertifikate, also die importierte p12 oder pfx-Datei) als Vertrauenswürdig angezeigt werden, geht es weiter!


    Zwischenzertifikat usw.:
    Manche Trustcenter erzeugen zuerst eine "PCA", um dann durch dieses Zertifikat die unterschiedlichen Herausgeberzertifikate für die einzelnen Zertifikatsklassen zu signieren. Und erst diese signieren dann die jeweiligen Userzertifikate ... .
    Hier benötigst du natürlich die ganze Zertifikatskette.



    Irgendwann hast du das richtige oder die richtigen Herausgeberzertifikate herausgefunden. Wenn es keine sind, die in den üblichen Mailprogrammen schon "Builtin" sind, stiftet eine Mailsignatur mit einem derartigen Nutzerzertifikat nur Verwirrung bei den Empfängern. In diesem Fall musst du den potentiellen Nutzern vorher (!) sowohl eine entsprechende Information als auch die Zertifikate zukommen lassen. Dazu gibt es IMHO drei Möglichkeiten:
    1. Information und Herausgeber- + dein Nutzerzertifikat per Mail. Gleich mit Kurzanleitung zur Installation ...
    2. wie 1. aber auf deiner Webseite. Gut macht sich dann gleich die Bekanntgabe der Hashwerte zur Überprüfung der Echtheit
    3. das Verschicken einer signierten Mail! Ein intelligenter MUA importiert die Zertifikate automatisch. Nur das Aussprechen des Vertrauens muss aus gutem Grund manuell erfolgen. Aber das kannst du ja in deine Mail reinschreiben ... .


    ==> Punkte 1-3 bündeln! Signierte Mail mit entsprechenden Informationen und den Zertifikaten als Anhang + Webseite. Das ist der Königsweg!


    Nebenbei: Ein "mitdenkendes" Trustcenter bietet die Möglichkeit, ein Nutzerzertifikat komplett mit dem/den eingebetteten Herausgeberzertifikat/en in einer einzigen Schlüsseldatei (p12/pfx "with Certificate Chain") zu importieren. Wenn der Nutzer dieses Importiert, sind die Herausgeberzertifikate automatisch importiert, und er muss nur das Vertrauen einstellen. Zeitdauer für die gesamte Aktion: keine zwei Minuten.


    HTH!


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi Peter,



    vielen Dank für die ausführliche Erklärung. Habe alles verstanden.
    Was mir jetzt aufgefallen ist, ist das ich beim TB immer mich wundere warum da mein eigenes smime.p7s datei dabei ist und nichts von Signierung steht. Wenn ich aber die Mail im Themenbaum mir anzeigen lasse, also nicht im Vorschaufenster, dann steht da rechts das Quwert mit dem roten Punkt und alles is paletti. Wie kann ich das Quwert mit dem roten Punkt im Vorschaufenster sehen, oder ist das nicht gewollt?
    Wenn du möchtest kann ich Dir ja ne E-Mail senden, unter http://www.cpbx.co.at/kontakt.htm findes Du die notwendigen Zertifikate.




    Grüße
    Timm

  • Hi,


    antworte mir mal selber, damit die Änderung gleich gesehen wird, habe den Verursacher des Problems ausgemacht.
    Es war der Virenscanner auf meinem Ausgangsmailserver, der hat nämlich einen Disclaimer hinzugefügt.
    Nun geht alles wie es soll.


    Grüße
    Timm

  • Hi Timm,


    freut mich, dass dein Problem gelöst werden konnte.
    Eigentlich spricht es ja nur für die Sicherheit einer elektronischen Signatur. Wenn irgendetwas oder irgendjemand irgendetwas an der gesendeten Mail auf dem Weg zum Empfänger manipuliert, dann muss das auch durch eine Signaturwarnung angezeigt werden.


    Etwas derartiges tritt (gewollt!) auch bei der Nutzung von IMAP und größeren Anhängen auf. Da von der Signatur die gesamte Mail mit allen Anhängen erfasst ist, kann die Signatur erst dann geprüft werden, wenn die Mail mit allen Anhängen auf dem Client vorliegt. So lange noch "am letzten Bild gesaugt wird", kann somit keine gültige Signatur angezeigt werden.


    Und, nach dem vollständigen Verstehen wars doch einfach, oder?


    Ich würde mich freuen, wenn du im Linux-Club noch deine Frage als erledigt auszeichnest, vielleicht auch noch mit einer kleinen klärenden Bemerkung.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi Peter,



    ja eigentlich ist es einfach, wenn da nicht die eine oder andere Hürde wäre.(Wurzelzertifikate-CA)
    Solange es sich um CAs handelt die von haus aus drin sind, alles paletti, wenn nicht geht das "gefrummel" los(Ich meine aus der Sicht des Anwenders). Aber die Österreichische Zertifizierungsstelle hat es anscheinend geschafft auch ins "Builtin" zu kommen, es gibt zumindest ein rootsupd.exe.
    Ja im Linux werde ich das auch gleich schreiben.


    Danke nochmals für die aufschlussreiche Erklärung.
    Timm