S/MIME: mehrere trustcenter.de-Zert. auf einen Namen [erl.]

  • Hallo zusammen,


    vorweg: ich arbeite mit TB 3.0.8 (IMAP-Konten) unter Ubuntu 10.04.


    Mein Problem ist folgendes: Ich nutze im TB vier IMAP-Konten (gmail, uni, eigene Domain, Foren-Projekt), die alle vier auf meinen Namen laufen "Standard-Identität > Ihr Name: Michael Sellhoff" bzw. meinen vollen Namen anzeigen.


    Nun möchte ich die Emails jedes Kontos mit einer separaten Trustcenter Internet ID signieren, habe diese auch alle beantragt & bestätigt bzw. aktiviert, die Zertifikate im FF importiert, anschließend für den Import im TB gesichert.


    Wenn ich nun für mein Haupt-Konto das Zertifikat importiert & zur digitalen Unterschrift ausgewählt habe, klappt soweit alles prima. Wenn ich denselben Vorgang nun mit dem zweiten Konto vornehmen will, bekomme ich auch nach Import des entsprechenden Zertifikats ("Z. verwalten") in der Auswahlliste von "Zertifikat wählen" nur das bereits beim ersten Konto vorgemerkte Z. angezeigt.


    Es scheint sich dabei um ein bekanntes Problem der TB-Zertifikateverwaltung im Zusammenspiel mit Zertifikaten von trustcenter.de zu handeln (?), vgl. http://blog.webducer.de/2010/0…unter-thunderbird-nutzen/. -- Es kann aber ja wohl nicht Methode der Wahl sein, bei der Beantragung eines TC-Zertifikats an meinem Namen "herumzumanipulieren", nur damit TB die Z. unterscheiden kann??


    Ich hoffe, mein Problem klar dargestellt zu haben & bin für jede Anregung dankbar!


    Michael.

  • Hi Michael,


    und willkommen im Forum!
    Ich kann dein Problem voll bestätigen - dir aber auch keine richtige Lösung anbieten. Jedenfalls ist dieses Problem bei uns schon mehrfach angesprochen worden.


    Allerdings:
    Ich selbst betreibe neben meiner beruflichen Tätigkeit in einem Trustcenter privat eine (gar nicht mal so) kleine "Privat-CA". Und so wie es sich gehört verändere ich selbstverständlich nichts am cn. Und trotzdem werden meine 8 eigenen Zertifikate alle ordentlich angezeigt. Vom TC Hamburg habe ich allerdings nur ein einziges, welches sauber neben meinen selbst zertifizierten in der Anzeige steht. Gleiches trifft bei meiner Chipkarte zu. Also 10 mal mein eigener Name untereinander.


    Ich habe allerdings zusätzlich die folgenden Add-ons installiert:
    - CertViewerPlus
    - S/MIME Security for multible Identities
    - View Your Certifikates Email Adress
    Ich will nicht ausschließen, dass eines der drei Add-ons diesen offenkundigen Bug "heimlich beseitigt".


    Allerdings:
    Niemand, der Geld für eine ordentliche Signaturkarte ausgibt, kauft sich dann gleich 2-3 Stück davon. Das ist zwar rechtlich zulässig, wird aber wegen des Preises einfach nicht gemacht. Deshalb fällt diese Fehlfunktion nur Benutzern der beliebten "Kostnix-Zertifikate" auf.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    ich danke Dir für Deine ausführliche Antwort & das Willkommen. Die von Dir genannten Add-Ons haben bei mir keine grundsätzliche Veränderung bewirkt. Es ist mir dennoch immerhin (wie gestern auch schon einmal) gelungen, _zwei_ Zertifikate dem jeweiligen Konto zuzuordnen -- frag bitte nicht, warum zwei aber nicht drei oder vier ...


    Ich gebe zu, daß der Einsatz von kostenlosen Zertifikaten gewissermaßen selbstgemachte Leiden nach sich zieht, ich könnte ja auch "richtige" Zertifikate verwenden & damit die Probleme umgehen.


    Vielleicht liegt die --zumindest momentane -- Lösung für mich im Hinweis von graba: Zwei trustcenter.de-Zertifikate laufen jetzt, den Rest versuche ich mit Zertifikaten anderer Aussteller "aufzufüllen".


    Danke noch einmal, Peter, ich werde später abschließend posten, ob alles weitere funktioniert hat.


    Michael.


    graba : Auch Dir herzlichen Dank für Deine Nachricht & Anregung, werde mich gleich einmal an startssl wenden.

  • Hallo zusammen,


    mit zwei Zertifikaten von trustcenter.de, einem von startssl & einem von comodo (alle auf denselben Namen) konnte ich nun alle meine Konten mit einer Signatur versorgen --


    Dank an alle Beiträger!


    Herzliche Grüße
    Michael

  • Irgendwie bin ich anscheinend zu begriffsstutzig um das Problem zu verstehen.
    Ich habe 3 email Konten bei verschiedenen Providern.
    Für jedes email Konto habe ich ein Zertifikat von CAcert, alle sind auf den gleichen (nämlich meinen) Namen ausgestellt.
    Ich habe sie all importiert und in den Kontoeinstellungen werden sie alle angezeigt, mit gleichem Namen und #2, #3 am Ende.

  • Begriffsstutzig hat ja niemand außer Dir behauptet ... ;-)


    Vielleicht passiert das ja nur, einzig & allein, bei den -- wie Peter Lehmann schrieb -- "kostnix"-Zertifikaten von trustcenter.de.


    Gruß
    Michael

  • "oppiman" schrieb:

    ... Für jedes email Konto habe ich ein Zertifikat von CAcert, alle sind auf den gleichen (nämlich meinen) Namen ausgestellt. ...


    Hallo,


    gut - hast du denn das root-Zertifikat auch importiert?


    Was erhältst Du für eine Fehlermeldung?


    [[BTW: Bei mir klappt's mit CAcert ]]


    MfG ... Vic


    - - - Schön auch, daß es Dein Name ~ Dein Zertifikat ist! ;) - :) - - -


    -


    Für die die mitlesen. Natürlich kann man sich bei CAcert "nur" einmal assuren lassen.

  • Hallo Vic~,

    "Vic~" schrieb:


    [[BTW: Bei mir klappt's mit CAcert ]]


    das Problem scheint nur für manche zu sein, dass CAcert nicht in fast allen gängigen Browsern als vertrauenswürdige Zertifizierungsstelle vorinstalliert ist (soweit ich weiß).

  • "msellhoff" schrieb:

    Begriffsstutzig hat ja niemand außer Dir behauptet ... ;-) 
    Vielleicht passiert das ja nur, einzig & allein, bei den -- wie Peter Lehmann schrieb -- "kostnix"-Zertifikaten von trustcenter.de.
    Gruß
    Michael


    Dem ist dann wohl so, da es mit CA cert geht.



    "graba" schrieb:

    Hallo Vic~,


    das Problem scheint nur für manche zu sein, dass CAcert nicht in fast allen gängigen Browsern als vertrauenswürdige Zertifizierungsstelle vorinstalliert ist (soweit ich weiß).


    Das ist "das" Problem bei CAcert.



    "Vic~" schrieb:


    Schon klar. Ich wollte damit nur sagen, dass meine Zertifikate "nur" meinen Namen enthalten und nicht noch irgendeinen Zusatz so wie es jemand empfohlen hat um die Zerts zu unterscheiden. (Völlig unabhängig davon was bei CAcert nun geht oder nicht, denn dass weiß ja auch nicht jeder). Danke für die CAcert Ehrenrettung :)

  • "oppiman" schrieb:

    Irgendwie bin ich anscheinend zu begriffsstutzig um das Problem zu verstehen.
    Ich habe 3 email Konten bei verschiedenen Providern.
    Für jedes email Konto habe ich ein Zertifikat von CAcert, alle sind auf den gleichen (nämlich meinen) Namen ausgestellt.
    Ich habe sie all importiert und in den Kontoeinstellungen werden sie alle angezeigt, mit gleichem Namen und #2, #3 am Ende.


    Hallo,
    na, da bin ich aber jetzt begriffsstutzig.


    "xxx" und "xxx #2" und "xxx #3" sind für mich nicht identisch und somit unterschiedlich und treffen somit auf die beschreibung des fehlers, der bei mir übrigend auch auftritt, nicht zu.


    Anmerkung: Seit einiger Zeit, soweit ich das feststellen konnte, vergibt trustcenter.de keine kostenlosen zertifikate mehr.
    Ich habe kostenpflichtige zertifikate, 2-Stück, weil unterschiedliche e-Mail adressen.


    Das mit den kostenlosen zertifikaten von "irgendwelchen" CAs ist ja gut und schön. Meistens hat die gegenseite aber die root-zertifikate nicht oder traut denen nicht (was auch verständlich ist) und damit kann weder eine sinnvolle signierung stattfinden geschweige denn eine verschlüsselte übertragung von daten.


    Sonst würde ich ja auch gerne auf die kostenlose variante ausweichen.

  • "msellhoff" schrieb:

    Es kann aber ja wohl nicht Methode der Wahl sein, bei der Beantragung eines TC-Zertifikats an meinem Namen "herumzumanipulieren", nur damit TB die Z. unterscheiden kann??


    Kann definitiv nicht sein. Ich würde mal behaupten wollen: Bug bzw. "wrong design of implemented function".


    Frage ist nur, wo kann man das mal melden. Ich habe bei mozilla nirgendwo einen punkt gefunden: Bug melden.