SMIME Zertifikate werden nicht gefunden? [erl.]

  • Hallo Zusammen,


    ich nutze TB 3.0.5 unter Win7.
    Seit TB3.x habe ich das Problem, das TB beim Versuch eine SMIME verschlüsselte Mail zu erstellen, meint das Zertifikat nicht zu finden!?
    Definitiv ist es vorhanden.
    In einem anderen Thread wird ein Workaround beschrieben (Zertifikat vertrauen). Auch das funzt nicht.


    Hat jemand eine Idee was ich noch unternehmen kann? Bin hin und wieder darauf angewiesen. OpenPGP geht.


    Hängt es vielleicht mit einem seit neuestem bei mir vorhandenen weiteren Problem zusammen? Ich werde mehrfach zur Eingabe des Passwortes für das SecurityDevice aufgefordert.


    Gruss
    Ralf

  • Hallo Ralf,


    und willkommen im Forum!
    Ich weiß natürlich nicht, wo konkret bei dir das Problem liegt. Kann dir aber verbindlich sagen, dass auch TBv3 (ggw. 3.0.5) bei mir keinerlei Probleme mit Zertifikaten hat, also dass es "grundsätzlich funktioniert".
    Findet TB die eigenen Z. nicht, oder die Z. der Mailpartner?
    Hast du mehrere Konten, welche mit S/MIME arbeiten?
    Von welchem Herausgeber sind diese Zertifikate? (Nicht alle arbeiten "sauber" und manches Z. ist nicht standardgemäß!)


    Ich würde jetzt an deiner Stelle die rabiate Methode anwenden: Die betreffenden Zertifikate (s. oben) vollständig aus dem Zertifikatsspeicher löschen. Wenn deren Herausgeberzertifikate nicht von Hause aus mitgeliefert wurden und nachinstalliert werden mussten, auch diese. Bei den eigenen Zertifikaten auch deren Einträge in den Kontoeinstellungen > S/MIME.
    Dann (ohne dass ich dir sagen kann, warum) den TB neu starten. Jetzt zuerst die Herausgeberzertifikate installieren und denen das Vertrauen aussprechen. Dann die jeweiligen Zertifikate und bei den eigenen wieder die S/MIME-Einstelllung in den Kontoeinstellungen tätigen. Im Gegensatz anderer Aussagen hier im Forum ist es bei derartiger Installation nicht erforderlich, den Empfängerzertifikaten extra noch einmal das Vertrauen auszusprechen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,
    danke für den Willkommensgruß.


    Es scheint was mit dem Herausgeber zu tun zu haben. Allerdings hat es einige Zeit auch problemlos funktioniert. Ich hasse zwar die Aussage, aber es stimmt: Ich habe ausser Updates und einem weiteren neuen Konto nichts geändert.


    TB findet das Zertifikat des Mailpartners nicht. Untereinander nutzen wir, seit Thawte auch nichts freies mehr zur Verfügung stellt, das einzig freie: StartSSL


    Ich habe von einigen Konten 2 die S/MIME benutzen.


    Ich habe alle Zertifikate, auch der Partner, gelöscht. Meine S/MIME Einstellungen zurück gesetzt. TB neu gestartet. Komischerweise waren dann 2 Zertifikate bereits wieder vorhanden. Danach habe ich alle wieder installiert. Nichts. Er findet das des Partners wieder nicht.
    Dann habe ich mir mal einen noch verfügbaren Thawte Mailpartner gesucht. Da klappt es. Meine Partner können auch noch verschlüsselt mailen. Dort sind TB und Outlook im Einsatz.


    Im Moment bin ich echt ratlos ....
    Gruss nach Bonn aus dem Siegerland

  • Schau dir doch mal das Zertifikat genau an. Sind Name (cn) und Mailadresse sichtbar und stimmig?
    Ist das Z. innerhalb der Gültigkeits-Zeitdauer?
    Sind wirklich die richtigen Herausgeberzertifikate installiert => exakt mit dem Inhalt des Zertifikates vergleichen.


    Was passiert, wenn du (nach der Installation der richtigen Herausgeberzertifikate!) von diesen Mailpartnern eine signierte Mail erhältst? Werden die als korrekt signiert angezeigt? Kannst du die Zertifikate öffnen? Kannst du verschlüsselt antworten? (Normalerweise werden nach Erhalt die Z. automatisch importiert.)


    Hast du von exakt diesen Nutzern noch alte, abgelaufende Z. im Speicher? => raus damit.


    Manchmal sind es die "kleinen Kleinigkeiten", wie der Ablauf der Gültigkeit ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Moin Peter,


    you got it.
    Das wars: "Hast du von exakt diesen Nutzern noch alte, abgelaufende Z. im Speicher? => raus damit."


    Wobei mich das jetzt schon wundert, da ich über mehrere Jahre abgelaufene Zertifikate von den Mailpartnern im Zertifikatsspeicher hatte und das bisher nie ein Problem darstellte. Aber kaum gelöscht, schon konnte TB auch wieder mit dem aktuellen Z. verschlüsseln.


    Dann sage ich Danke für die Unterstützung!


    Mit besten Grüßen und noch ein schönes WE
    Ralf

  • Hi Ralf,


    Freut mich, dass ich dir habe helfen können.
    Warum der TB mitunter über abgelaufene Userzertifikate stolpert, weiß ich auch nicht. Passiert eben manchmal - aber nicht immer.
    Andererseits gibt es absolut keinen Grund, die abgelaufenen Z. im Speicher zu behalten. Wenn es abgelaufen ist, kannst du mit dem Zertifikat eh nichts mehr anfangen, jedes S/MIME nutzende Mailprogramm verweigert die Verschlüsselung mit einem abgelaufenen Zertifikat. (Sie sind maximal noch für die nachträgliche Signaturprüfung alter damit signierter Mails zu gebrauchen.)
    Etwas völlig anderes ist es mit den eigenen Zertifikaten.
    Hier solltest du die abgelaufenen Z. im Speicher behalten. Du kannst damit zwar nicht mehr signieren, aber zum Entschlüsseln alter an dich verschlüsselter Mails werden diese Zertifikate benötigt.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!