Benutzerzertifikate in Thunderbird 3.1.11

  • Ich benutze Thunderbird 3.1.11,
    besitze selbst ein S/MIME Zertifikat vom TC TrustCenter Hamburg
    und möchte Mail an einen Empfänger senden, desse S/MIME Zertifikat ebenfalls vom TC TrustCenter ich besitze.


    Mein Zertifikat ist ok, ich kann signiert senden.
    Das Zertifikat des Empfängers landet aber eigenartigerweise nicht im Zertifikatsspeicher für Personen, sondern für Server. dadurch wird es für die Verschlüsselung an die Zieladresse nicht gefunden und man kann nicht verschlüsseln.


    Zertifikat schon mehrmals gelöscht und neu importiert, es landet immer wieder unter Server.


    Hat jemand eine Idee woran das liegen kann und wie man das Zertifikat in den Speicher für Personen zwingt?

  • Hallo jg1958,


    und willkommen im Forum (<= Ja, so viel Zeit nehmen wir uns hier ... .)


    Das passiert dann, wenn du dem in "Personen" importierten Zertifikaten extra noch einmal das Vertrauen ausgesprochen hast.


    Du hast zwei Möglichkeiten:
    1.) Wenn du - so wie es sich gehört - vorher das richtige Herausgeberzertifikat installiert und diesem das Vertrauen ausgesprochen hast, musst du das bei dem Benutzerzertifikat nicht noch einmal tun. (Du Vertraust den Herausgeber, also wird dieses Vertrauen auch an alle durch diesen herausgegebenen Zertifikaten vererbt.) => Dann bleibt es auch unter "Personen" stehen.


    2.) Wenn es einmal unter Server steht, kannst du ihm dort noch einmal das Vertrauen einstellen. Dann müsste es als gültig angezeigt werden.



    Mit den bei uns durchaus üblichen "Freundlichen Grüßen!"


    Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    zunächst erst einmal vielen Dank für das freundlcihe Willkommen im Forum.


    Der Hinweis, dass man die Vertrauenseinstellungen nicht bearbeiten darf, war sehr hilfreich. Ich habe das Zertifikat neu importiert, nicht bearbeitet und es bleibt nun auch unter Personen stehen.
    Nun habe ich aber ein anderes Problem, was gestern eigentlich auch der Grund war, die Verttrauenseinstellungen zu ändern. Wenn ich das Zertifikat zum Verschlüsseln benutzen möchte, wird mir nur angezeigt, dass nicht verschlüssellt werden kann, weil das Zertifikat nicht gefunden wird.
    Es ist jedoch definitiv vorhanden, auch die Zertifikatskette vom Aussteller bis Root sind komplett vorhanden.
    Bei eingehenden Mails (verschlüsselt und signiert) wird das Zertifikat übrigens als gültig erkannt.
    Nun bin ich ratlos.
    Einzige Besonderheit: Es handelt sich bei dem Zertifikat um ein sogenanntes Team Zertifikat vom TrustCenter Hamburg. Allerdings arbeiten wir schon seit vielen Jahren damit, immer problemlos. Es hat sich eigentlich in der Clientumgebung immer wie ein Benutzerzertifikat verhalten.


    Schon mal vorab Danke und mit freundlichen Grüßen


    Jens


    Nachtrag: Ich habe das vom TrustCenter heruntergeladene Zertifikat gelöscht, mir eine signierte E-Mail geschickt und über die Signatur das Zertifikat automatisch installiert. Das wird nun auch gefunden und ich kann damit verschlüsseln.
    Was ist nun der Unterschied zwischen Import aus der Mail und Import aus der Datei von Trustcenter ????

  • Hallo Jens,


    freut mich, dass ich dir "auf die Sprünge helfen konnte".
    Der "Trick" mit dem Importieren des Zertifikates aus einer empfangenen Mail ist nichts unübliches. Auf diese Weise tauschen wir seit Jahren Zertifikate mit "firmenfremden", also nicht im eigenen Verzeichnisdienst enthaltenen, Nutzern aus.
    Warum das mit dem Dateiimport nicht funktioiert hat, kann ich dir nicht sagen. Ist dieses Z. wirklich von exakt (!!!) dem gleichen Herausgeberzertifikat signiert? Gerade die Kollegen in Hamburg verwenden für ihre Produktpalette mit recht vielen Herausgeberzertfikate. Damit ist eine saubere Trennung der einzelnen "Wertigkeiten" vom Kostnix bis zum QES-Zertifikat gegeben.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    es ist wirklich irre mit dem Zertifikat. Jetzt plötzlich funktioniert es wieder nicht mehr .... ???
    Wieder gelöscht ... signierte Mail geöffnet und darüber neu importiert ... geht wieder .... mal sehen wie lange. Echt merkwürdig.
    Dem Zertifikat traue ich wirklich. Das verwenden wir in der Bank für die gesamte Verschlüsselung von E-Mails an uns und es funktioniert. Außerdem habe ich es selbst erstellt und beim TrustCenter zur Bestätigung eingereicht. Das ist mein Job in der Bank. Deshalb bin ich ja so entsetzt, dass ich plötzlich solche Probleme mit Thunderbird auf meinem PC habe.


    Für heute gute Nacht und viele Grüße


    Jens

  • Hallo Jens,


    daraus, dass ihr dieses Z. für dienstliche Zwecke benutzt entnehme ich, dass es ein höherwertiges ist (ich hoffe einfach mal dass eine Bank kein "Kostnix-Zertifikat" benutzt).
    Wenn du an jemand anderes verschlüsseln willst, ist die Wahrscheinlichkeit sehr groß, dass dieser als Privatperson leiglich das erwähnte "kostnix-Z." benutzt (*). In diesem konkreten Fall - und auch immer, wenn du an jemand verschlüsseln willst, der sein Z. von einem anderen Anbieter hat - bedeutet das, dass du von beiden Herausgebern das Herausgeberzertifikat bewusst importieren musst. Es sei denn, die Leute von Mozilla haben dir diese Aufgabe schon abgenommen, also "build in". Da das "höherwertige Zertifikat" (vermutlich ein so genanntes "Z. für fortgeschrittene Signaturen" mit einem anderen Herausgeberzertifikat signiert wurde als das Kostnix-Teil, musst du also zwei Herausgeberzertifgikate vom TC HH installieren. OK?


    (*)
    Auch das Billigzertifikat ist für einander bekannte Partner völlig ausreichend und fast ebenbürtig zu einem höherwertigen Zertifikat. Kryptologisch gibt es da außer eventuell bei einem Zertifikat für die QES so gut wie keine Unterschiede, wenn wir mal die besseren Zufallszahlen außer Acht lassen. Aber das ist etwas, was für den normalen Anwender schon jenseits des praktischen Interesses liegt.
    Das einzige, was ihr machen solltet ist, bei der ersten Kontaktaufnahme per Telefon den Hashwert der Zertifikate zu vergleichen. Denn bei den Kostnix erfolgt ja keine (aufwändige und deswegen teuere!) Personenidentifizierung. Jedermann könnte sich aus Spaßgründen ein Z. auf einen beliebigen Namen bestellen.


    BTW: Probleme bei kryptologischen Anwenduingen liegen meist in winzigkleinen Ungenauigkeiten. Ein fst gleich aussehendes Herausgeberzertifikat hat - aus welchen Gründen auch immer - einen anderen Hashwert, ist abgelaufen, zurückgezogen worden usw. Kryptologie ist eine penible Wissenschaft -WOWEREIT!


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    ja, wir verwenden in der Bank Class 2 Zertifikate, für die wir auch was bezahlen müssen.


    Wie es scheint, hat Thunderbird damit ein Problem, was sich auch sehr schön reproduzieren lässt. Ist das Zertifikat erstmal eingebunden und funktioniert, dann wird es oft nach einem Neustart von Thunderbird nicht gefunden.
    Problem"lösung": Zertifikat löschen, Thunderbird schließen, wieder starten, eine mit dem Zertifikat signierte Mail öffnen und siehe da, man kann nun auch an den Besitzer des Zertifikats verschlüseln, es wird gefunden. Aber nur bis zum Neustart, dann ist es wieder weg. Das sieht ganz nach einem Bug aus, oder?


    Viele Grüße ins Forum


    Jens

  • Hallo Jens,


    also, wenn ich nicht einen ganzen Haufen "richtiger und kostenpflichtiger" Zertifikate in meinem TB nutzen würde, dann würde ich dir das glauben.


    Nein, so glaube ich dir das nicht ;-)
    Du musst zuerst das richtige Herausgeberzertifikat des TC importieren und diesem das Vertrauen aussprechen. Dazu musst du exakt das Zertifikat auswählen (oder alles installieren, was das TC anbietet). Und wenn du danach das Benutzerzertifikat importierst, bleibt es auch drin.
    Würde mich wundern, wenn das nicht so funktioniert.


    Sollte das Herausgeberzertifikat bereits durch die signierten Mails installiert sein, dann schau dir noch mal an, ob die Haken für das Vertrauen gesetzt sind.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,
    nach längerer Pause greife ich unseren Gesprächsfaden wieder auf.
    Wollte heute wieder verschlüsselt senden ... und prompt wieder reingefallen.
    Die gesamte TC-Zertifikatskette ist ja bereits im Thunderbird integriert. Trotzdem wird das damit erstellte Teamzertifikat immer wieder "verworfen" oder besser gesagt, nicht mehr benutzt.
    Mich wundert es genau so, aber es funktioniert nicht.
    Das alte Spiel: Zertifikat löschen, Thunderbird schließen und wieder starten, digital signiert Mail öffnen und Verschlüsseln geht ... bis zum nächsten Mal. Das zeigt auch, dass die Zertifikatskette vollständig vorhanden ist. Die Frage ist nur: Warum funktioniert es nach den Neustart von Thunderbird nicht mehr?


    Viele Grüße


    Jens

  • Hallo Jens!


    Ehrliche Antwort?
    => Ich weiß es nicht. Ich hatte das Problem "leider" noch nicht und kann dir wirklich nichts zur Fehlerbehebung sagen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!