Thunderbird 3.0* Bug Workaround: Client / Personenzertifikat

  • Thunderbird 3.0* Bug Workaround: Bestätigung von S/MIME Personenzertifikaten


    Wie in diversen Posts nebenbei erwähnt wurde gibt es im Thunderbird 3.0* ein unangenehmes Bug beim Import von S/MIME Client / Personenzertifikaten, das viele Neueinsteiger davon abhält verschluesselte Mails zu benutzen. Diese Bug betrifft möglicherweise nur selbst signierte RootCAs*) - denn beglaubigten Zertifikaten wird automatisch vertraut.


    Problem: Nach dem Import und Bestätigen des Stammzertifikats (3x Häckchen beim Vertrauen) können zugehörige S/MIME Client / Personenzertifikate für den verschlüsselten Mailverkehr mit diesen Personen nicht ohne weiteres bestätigt werden. Spricht man händisch das Vertrauen aus verschwindet das Zertifikat nach dem nächsten Öffnen des Fensters aus dem Reiter "Personen" und taucht dafür unter "Server" auf.


    Es wurde an andere Stelle erwähnt dass die verschobenen Zertifikate trotzdem funktionieren :eek:


    Das stimmt, allerdings muss man dazu für die (fälschlicherweise) verschobenen Zertifikate das Vertrauen ein ZWEITES MAL im Reiter "Server" bestätigen :!::!:


    Dann klappt es. Nicht gerade Einsteiger freundlich, aber wenn man es weiss keine grosse Hürde.
    In Summe deutlich komfortabler als OpenPG - wegen Bugs wie diesem aber nur fast alltagstauglich.


    lg Christian
    ___
    PS: Ich gebe IT Trainings ... da sind solche "Features" keine Freude ...


    *) Ich benutze zur Zertifikatserstellung z.B das komfortable grafische CA-Tool von Yast unter OpenSuse (mit Live CD auch unter Windows nutzbar). Es gibt scheinbar kein grafische Tool für Windows, und unter Linux nur das angestaubte TinyCA. Dagegen ist der Yast -CA Manager echter Luxus. Unter Suse ist natürlich auch Kleopatra und OpenSSH verfügbar.

  • Hi Christian,


    Danke für deine Informationen.


    Zum Zertifikats-Erzeugungsprogramm:
    Dann versuche es doch mal mit "XCA". Das gibt es sowohl für Linux als auch für die WinDOSe.
    Durch die Möglichkeit richtige Templates zu erstellen (für wirklich jeden Anwendungsfall!), ist das Programm fast so komfortabel zu bedienen, wie die Anwendungen in einem professionellen Trustcenter. (Ich weiß, wovon ich schreibe.)
    Mit diesem Programm stelle ich jedes Jahr ein paar Hundert Zertifikate für diverse Interessenten her.


    Zu dem alten Bug im TB:
    Bereits in meinem FAQ-Beitrag zum Thema aus dem Jahre 2007 habe ich diesen erwähnt. Es gibt ihn also nicht erst seit TBv3.
    Wenn ein Zertifikatsbastler das reine selbstsignierte Userzertifikat herausgibt - und der User explizid im TB das Vertrauen in dieses Zertifikat einstellen muss, dann ist der Herausgeber des Zertifikates - sorry - ein Pfuscher. Auch bei selbstsignierten Zertifikaten sollte die "Privat-CA" wie ihr großes Vorbild zuerst eine CA aufsetzen und davon ausgehend die Nutzerzertifikate erstellen. Besser noch eine PCA und jährlich eine Jahres-CA. Und die Zertifikate aller dieser CA gehören entweder auf die Webseite (zusammen mit den Hashwerten) oder sind zumindest dem Nutzer zum Import zu übergeben. Und wenn diese erst importiert wurden, sind die Nutzerzertifikate wie die eines etablierten Trustcenters zu verwenden.


    NB: Mit XCA kann man sehr komfortabel der Schlüsseldatei (.p12, .pfx) gleich noch die CA-Zertifikate mit in den Container geben. Den eigenen Schlüssel importiert - und alle Zertifikate sind der Anwendung bekannt. Nur noch das Vertrauen einstellen. Und wenn die anderen Nutzer auch noch Zertifikate der gleichen CA haben, tritt das von dir angesprochene Problem überhaupt nicht auf, bzw. werden die Userzertifikate schon beim Empfang der ersten signierten Mail importiert.
    Komfortabler geht es nicht ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,


    Danke für den Tool Tipp zu XCA, werde ich als Alternative für Windows anführen :D 
    Yast-CA Manager unter Suse ist gleichwertig und schon "on-Board". Templates gibt es da auch. Für andere Distris sicher interessant. Werde mal die Kubuntu Live CD danach absuchen, denn TinyCA ist nicht mehr drauf ...


    Zu deiner Empfehlung bezüglich Root CA muss ich aber widersprechen ;) - sollte man meinen, aber TB3 schafft es leider nicht. Deshalb weise ich hier wieder mal darauf hin !


    Ich habe natürlich ein passendes Root-CA mit dem Yast-CA Manager erstellt, aus dem die Clientzertifikate erzeugt wurden. Die Installation aller Zertifikate wurde auch grob für die User beschrieben mit Verweis auf diverse Foren*). Das hat wie gesagt nicht gereicht.


    Ich halte es für ein TB3 Bug weil die Chain für selbst ausgestellte Zertifikate einfach nicht berücksichtigt wird ... und die sind ok, weil sie in anderen Anwendungen (Adobe Acrobat) funktionieren. Ist leider nix neues in der Mozillafamilie - gilt natürlich auch für Firefox 3.0.x ...


    Trotz eingestelltes Vertrauen in das (selbst ausgestellte) Root-CA muss zusätzlich jedes davon abgeleitete Clientzertifikat im TB3 auf diese umständliche Weise freigeschalten werden. Kann die Zertifikate gern zum Testen weitergeben ...


    Nachtrag: Bitte um Verständnis wenn ich mich nicht um die Bug-Historie der TB Versionen kümmere. Ein Einsteiger hier will etwas über die aktuelle Version erfahren, unabhängig davon seit wann es ein Bug gibt.


    lg Christian
    ____
    *)Leider unterstützt TB3 kein p7c Format um Root und Client Zertifikate auf einmal zu installieren ... oder gibt es da ein passendes Format?