Web de Rootzertikat importieren...es tut sich nichts !

  • Thunderbird-Version: 13.01
    Betriebssystem + Version: Win 7 x64 (all up to date)
    Kontenart (POP / IMAP): ALLES
    Postfachanbieter (z.B. GMX): web.de, gmail, live.de
    SMIME oder PGP:none


    Ich schlage mich nun schon länger damit rum "Digital signierte" mails mit TB zu versenden und es hakelt hinten
    und vorne damit..und ich verstehe ehrlich gesagt nicht warum..


    Ich versuche neben meinem persönlichen Zertifikat auch die Root Zertifikate (unter Herausgeber) zu importieren
    (Quelle: http://trust.web.de/ )


    Es lassen sich die .DES dateien auch anwählen und dann auf OK .., aber es passiert danach rein gar nichts.
    Die Web De Zertifikate tauchen nicht in der Liste der "Authorities" oder "Server" auf.
    (Mein eigenes persönliches ist auf jeden Fall schon da..unter "Your Certificates")


    Auch lassen sich die Web.de Zertifikate probeweise ebenfalls nicht in den Windows-eigenen Zertifikatspeicher (rechtsklick "Zertifikat installieren")
    übertragen. Meldung :; "Diese Datei ist für Folgende Verwendung ungültig: Sicherheitszertifikat")


    Ich muss zugeben ich stecke ein wenig fest hier...die Threads die ich mir dazu anschaut habe setzen vorraus dass diese Schritte
    funktionieren..


    Ja ich bin auf dem Rechner Administrator .(UAC ist übrigens OFF)

  • Hallo sabrehawk,


    und willkommen im Forum! (<= Ja, so viel Zeit nehmen wir uns hier ... .)
    Es ist gut, dass du dir Gedanken um die Vertraulichkeit deiner Mails machst.


    Hier ist bestimmt:
    SMIME oder PGP: SMIME gemeint.



    Zitat

    Ich versuche neben meinem persönlichen Zertifikat auch die Root Zertifikate (unter Herausgeber) zu importieren
    (Quelle: http://trust.web.de/ )


    So soll es auch sein. Und ich gehe einfach mal davon aus, dass dein persönliches Zertifikat auch vom web.de-TrustCenter ausgestellt wurde.


    Zitat

    Es lassen sich die .DES dateien auch anwählen und dann auf OK ..,


    Welche ".DES dateien"?
    Zertifikate (also öffentliche Schlüssel) werden im .cer, .der, mitunter auch .pem-Format angeboten. DES ist ein symmetrisches Verschlüsselungsverfahren und kein Format für ein Zertifikat.


    Du musst immer die vollständige Zertifikatskette installieren (und denen auch das Vertrauen aussprechen!), mit denen dein eigenes Zertifikat (deine eigene Schlüsseldatei .p12 oder .pfx) signiert wurde. In der Regel bist du mit den aktuellen Zertifikaten auch bestens bedient.
    => Schau dir dein eigenes Zertifikat an und drucke am besten die Zertifikatsdaten aus (exakter Name der herausgebenden Stelle, Gültigkeit, Fingerprint des zur Signatur verwendeten Schlüssels).
    Jetzt installiere zuerst die aktuellen Zertifikate (.der herunterladen abspeichern und installieren). Das muss funktionieren! Gerade für dich noch mal getestet. Dann vergleiche die Daten mit denen, die bei dir verwendet wurden. Wenn keine Übereinstimmung, musst du auch ältere herunterladen und installieren. Es schadet keinesfalls und ist auch kein "Sicherheitsrisiko", wenn du ältere Herausgeberzertifikate installiert hast.


    Zitat

    Die Web De Zertifikate tauchen nicht in der Liste der "Authorities" oder "Server" auf.


    Auch wenn es keine Rolle spielen dürfte, wieso spricht dein TB englisch?


    Zitat

    Auch lassen sich die Web.de Zertifikate probeweise ebenfalls nicht in den Windows-eigenen Zertifikatspeicher (rechtsklick "Zertifikat installieren")
    übertragen. Meldung :; "Diese Datei ist für Folgende Verwendung ungültig: Sicherheitszertifikat")


    Siehe oben. Was hast du denn heruntergeladen? Die Dateien heißen "webderoot.der" und "webdeca.der", usw.


    Zitat

    Ja ich bin auf dem Rechner Administrator .(UAC ist übrigens OFF)


    Und ich hoffe mal in deinem eigenen Interesse, dass du diesen Zustand bald änderst.
    Das Administratorkonto ist nur zum Administrieren zu verwenden.
    Zum "Arbeiten" sind eingeschränkte Nutzerkonten anzulegen und zu verwenden.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,


    Ja danke für das Willkommen, :flehan: :mrgreen: :hallo:


    Es sind natürlich die erwähnten DER dateien ..ein Tippfehler meinerseits :D
    "webderoot.der" und "webdeca.der"


    Ja mein persönliches Zertifikat ist von Web de ausgestellt.


    Die Installation meines eigenen Zertifikats ist kein Problem und das Problem besteht
    weiterhin bei der Installation wie auch geschrieben der oben genannten root zertifikate.


    Mein TB spricht englisch weil ich die englische Version benutze...offensichtlicherweise^^


    Ich kenne die theoretischen Risiken eines Arbeiten mit Adminstratorkonto,danke. ;)
    (im übrigen macht es wenig Sinn als eingeschränkter Benutzer zu versuchen Wurzelzertifikate
    ins Betriebssystem einzubinden^^)


    Die Aussage "das muss gehen" hiflt mir leider nicht weiter. Es geht eben wie beschrieben nicht.


    Ich gehe in TB auf Importieren entweder direkt unter den email account optionen oder über Tool Options Advanced
    und da in View Certificates >> button IMPORT , im Tab SERVER oder TAB Authorities ..selektiere die Dateien und egal
    welche und wie oft und egal ob unter SERVER oder AUTHORITIES, nach der Auswahl tut sich nichts. Es taucht kein Web
    de ZErtifikat auf in der Liste und es gibt auch keine Fehlermeldung... Neustart Rechner etc alles probiert.
    Das digitale Signieren mit meinem Zert. schlägt natürlich immer noch fehl weil sich die Wurzelzertifikate einfach nicht einbinden
    lassen wollen. Ich hab jetzt vorne und hinten rum alles probiert und geschaut..wie dumm google bemüht...kein Ansatz.

    2 Mal editiert, zuletzt von sabrehawk ()

  • Hi sabrehawk,


    ich habe jetzt extra noch mal nach den uralten Zugangsdaten meines seit Jahren nicht mehr genutzten Krüppelkontos von web.de gesucht und dieses Kto eingerichtet (es war bis zum Quota mit Müll gefüllt, zum Glück passt da ja nicht so viel rein ...).


    Und ich habe auch mein altes Zertifikat gefunden (ich werfe ja nichts weg, und selbst ein uralter Schlüssel taugt ja immer noch zum Entschlüsseln, wenn auch nicht mehr zum Signieren).
    Die dazu passenden Herausgeberzertifikate installiert - und alles war in Butter.


    => Es geht also! (Zumindest soll das als Beweis dienen, dass es prinzipiell funktioniert, damit haben wir aber nicht die Ursache, warum es das bei dir nicht funktioniert.)


    Die Zertifikate und deinen Schlüssel brauchst du bei ausschließlicher Nutzung im Thunderbird nicht in den Zertifikatsspeicher der WinDOSe importieren - schon gar nicht als Administrator. Thunderbird benutzt einen, völlig vom BS unabhängigen eigenen Zertifikatsspeicher, und der liegt im TB-Userprofil des jeweiligen Nutzers.


    Da du ja, im Gegensatz zu mir, noch keine 168 Benutzerzertifikate (die meiner Mailpartner) und wohl auch noch keine 15 eigene Schlüssel importiert hast, schlage ich dir jetzt folgende "brutale" Methode vor:


    1.) TB beenden
    2.) Im Profil die folgenden Dateien durch einfaches Umbenennen (als Rückweg bei Problemen) vor dem Programm verstecken:
    - cert8.db
    - key3.db
    3.) TB wieder starten. Die Dateien werden dann wieder neu angelegt. Zumindest dein eigener Schlüssel muss dann wieder importiert werden.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Nö (wenn ich damit einmal anfange ...)
    Lege mal mit dem Profilmanager ein frisches Testprofil an. Wirklich von NULL an aufbauen.


    Vielleicht noch einen anderen Test:
    Hole dir mal die Herausgeberzertifikate eines anderen TrustCenters. Meinetwegen vom TC Hamburg. TC TrustCenter - TC TrustCenter - Digitale Zertifikate und PKI ...
    Klappt es da?

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • oha welches von den ZIG da soll ich denn mal nehmen :D


    http://www.trustcenter.de/infocenter/root_certificates.htm


    ps hier nochmal video zu dem was ich da am rechner verbreche :


    http://youtu.be/jAvy1mFxSPc (video entfernt aus sicherheitsgründen)


    update:


    OK habe mal eins genommen dass noch nicht installiert war und zwar das class 4 im DER Format


    geht bei windows und bei TB völlig problemlos zu importieren !!!


    Ich glaub die WEb de dateien sind FRITTE!

    2 Mal editiert, zuletzt von sabrehawk ()

  • Du importierst die beiden Zertifikate aber schon nach "Herausgeber"? Es sah mir aus wie "Servers".
    (Ich hatte Probleme mit der kleinen Anzeige)


    Bei den Zertifikaten vom TC HH: Die dortigen Kollegen bieten sehr viele Zertifikate an. Es geht doch eigentlich nur darum, ob du überhaupt erfolgreich Herausgeberzertifikate importieren kannst.
    Importiere doch einfach alles, was da angeboten wird. Probleme treten dadurch keine auf. Es sind maximal die Herausgeberzertifikate für höherwertige Nutzerzertifikate dabei. Also für Zertifikate, bei denen eine ordnungsgemäße Identifizierung der Antragsteller stattfindet und bei denen du dich im Unterschied zu den beliebten Kostnix-Zertifikaten wirklich darauf verlassen kannst, dass die im Zertifikat genannten Personen authentisch sind.
    Also einfach alle Z. importieren.

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • ja siehe oben geht einwandfrei...


    und im video habe ich nur den einen Tab versucht, ich habe jedoch defintiv versucht alle beide certs in alle beiden Tabs
    zu installieren und normalerweise kommt wie bei den TC zerts ja dann auch ein dialogfenster...dazu kommt es wie im video
    zu sehen ist gar nicht. Ach übrigens video maximieren udn auf 1080p hilft dabei..die qualität ist astreines mp4 avi :D


    schnelltest...trust.web.de rootzert downloaden und öffnen...das MUSS gehen und bei den TC dateien gehts ja auch
    ergebniss:


    die .der dateien sind korrekt mit MS-Kryptoshell Erweiterung assoziiert.


    ergebniss TC Datei: http://youtu.be/vD7BfTkPRwU (da ich es bereits im Schritt vorher installiert hatte und das video als beweis dafür) *video entfernt aus Sicherheitsgründen"


    Da Brat mir doch einer nen STorch was ist hier los :D??
    (google war übrigens richtg fix beim indizieren dieses Problems...man findet meinen Beitrag schon unter den Top suchergebnissen zum thema ^^)

    Einmal editiert, zuletzt von sabrehawk ()

  • Wie es aussieht, liegt es ja wohl nicht am TB.
    Zwei Möglichekeiten:
    1.) eine höfliche Nachfrage bei dem Mailprovider deines Vertrauens (der aber nicht das TrustCenter meines Vertrauens betreibt!)
    2.) dir ein Nutzerzertifikat bei einem anderen TV holen.


    Wie ich oben schon geschrieben habe, habe ich es mit meinen uralten Zugangsdaten, meinem ebenso alten Zertifikat und den dazugehörigen Herausgeberzertifikaten getestet. Ich will nicht ausschließen, dass die aktuellen Zertifikate "ein Problem" haben ... .

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • tja die mail habe ich bereits vorbereitet...aber wieso lädst du nicht einfach mal die aktuellen dateien von denen und gehst einfahc mal auf ÖFFNEN damit installierst du
    nichts sondern es poppt bloss die Eigenschaftsbox des Zertifikats auf...wenn da auch der Fehler kommt dann schicke ich meine Mail los...ansonsten gehe ich von einem
    defekten Zertifikatsspeicher aus denn es waren definitv mal unter Windows web de root zerts installiert die habe ich im Zuge dieser Problemorgie entfernt um einen
    jungfräulichen Zustand nahe zu kommen. Wobei eigentlich...defekt kann bei mir nichts sein..die Dateien MÜSSEN sich öffnen...(nur öffnen wohlgemerkt, nicht installieren) lassen.


    den infos auf der Seite entnehme ich im übrigen dass hier schon dick der Staub ansetzt was die Aktualität der Daten angeht.


    Über das Für und Wieder von Web de kann man sicher streiten..ich bin da schon seit es den Laden gibt und mit Personalausweis legitimiert..deshalb ist es schwierig
    so eine primär Adresse aufzugeben ^^


    Die Videos nehme ich übrgens gleich wieder offline ...aus Privacygründen...


    Danke für deine fleissige Unterstützung !!! :hallo: :zustimm:
    Ach ja..ich bin übrigens BONNER :DD HAHA

  • Zitat

    und gehst einfahc mal auf ÖFFNEN damit installierst du nichts sondern es poppt bloss die Eigenschaftsbox des Zertifikats auf..


    Also dass ausgerechnet mir mal jemand erklärt, wie man mit einem Zertifikat umzugehen hat ..... . :lol:


    OK, du kannst deine Mail abschicken.
    Ich habe es natürlich vorhin mit meinem eigenen uralten Zertifikat und dem dazu passenden Herausgeberzertifikat getestet.
    Und mir ist aufgefallen, dass das letzte in der Reihe (längst abgelaufen) sich ordnungsgemäß herunterladen und installieren lässt.
    Bei allen anderen geht es nicht! Man erkennt das schon an der hinterlegten URL. Ich habe extra für dich ausnahmsweise meine virtuelle WinDOSe gebootet und auch damit getestet.
    Was mir noch aufgefallen ist: Nirgendwo bietet dir web.de ein neues Zertifikat an! Ich vermute mal, dass sie an dem nicht unbeträchtlichen Aufwand erstickt sind. Sie haben eine Infrastruktur in einer Zeit aufgebaut, wo wir alle geglaubt haben, dass sich in DL die elektronische Signatur durchsetzen wird. Und hat sie? Keinesfalls! Auch der nPA wird da keine Wende bringen. Leider.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "Peter_Lehmann"

    Also dass ausgerechnet mir mal jemand erklärt, wie man mit einem Zertifikat umzugehen hat ..... . :lol:


    MfG Peter


    Hrhrr dafür hab ich echt ein Talent...ich weiss :^^ Leuten die Ahnung haben auf den Zeiger zu gehen, aber ich gehe auch Leuten
    die keine Ahnung haben auf den Wecker insofern fair verteilt ^^ In aller Bescheidenheit wirst du dich sicher zu ersten Gruppe zählen :pp


    Ja und Web de ...bin jetzt um die 15 Jahre bei denen (Am Anfang waren die echt super)...ein Aufgeben der adresse wird echt schwer ..haufenweise wichtige Registrierungen laufen
    über die Adresse,...aber so langsam gehen die mir mächtig auf den Senkel :D Und deren DE Mail Kooperation ist ja auch schon am laufen.
    Ich glaub die Pre-Registration werde ich mal direkt wieder canceln da. :D

  • Überschlafe die Sache doch noch einmal.
    Eine uralte Mailadresse wegzuwerfen geht fix. Aber allen eine neue Adresse mitzuteilen ist nicht ganz ohne, vor allem, wenn diese auch an Firmen, Newsletter usw. bekannt gegeben wurde.
    Und web.de hat ja auch Features, die nicht zu verachten sind.


    Dazu zähle ich auch (jawohl!) die Bereitstellung von Nutzerzertifikaten für S/MIME. Sie waren und sind (und das weiß ich eben nicht genau) immerhin der erste und einzige dt. Mailprovider, der selbiges seinen Kunden angeboten hat. Und zwar nicht wie bei den beliebten Kostnix-Zertifikaten einiger Trustcenter, bei denen ohne jegliche Identitätsfeststellung den antragstellenden Personen ein Zertifikat ausgestellt wird. Bei web.de war es schon eine echte Identitätsfeststellung (Post-Ident), die schon als Signaturgesetzkonform bezeichnet werden kann. Auch wenn sie mit dem weiteren Rest alles wieder kaputt gemacht haben ... .


    Dein privater Schlüssel ist bei web.de gespeichert und du kannst ihn auf deren Webmailfrontend zum Entschlüsseln und Signieren nutzen. Klar kannst du ihn auch lokal speichern und in einen beliebigen MUA einfügen. Trotzdem ist er "dort" gespeichert. :(:(
    (Eine Verschlüsselung, welche extern erfolgt, ist für mich keine Verschlüsselung!)
    Dafür kannst du dich bei einer Signatur "mit an Sicherheit grenzender Wahrscheinlichkeit" darauf verlassen, dass diese von eben jener Person durchgeführt wurde. (Auch wenn "web.de" dies natürlich theoretisch mit deinem dort hinterlegten Schlüssel selbst machen könnte. Aber es ist rechtlich schon ein bedeutender Unterschied, "Wolfgang" eine ehemals verschlüsselte Mail nach Aufforderung im Klartext zu übergeben oder eine Signatur mit deinem Namen zu faken. Dafür gibt es meines Wissens -noch- keine rechtliche Grundlage.)


    Andererseits werden die "Kostnix-Zertifikate" einiger dt. Trustcenter mit Hilfe von Zertifikatsrequests erzeugt. Dein eigener Browser (!) generiert den privaten Schlüssel, berechnet den öffentlichen Schlüssel, ergänzt ihn mit den von dir zu sendenden Zertifikatsdaten und schickt diesen Request in einem automatisierten Verfahren an das Trustcenter. Dort werden die fehlenden Zertifikatsdaten (die des TC) ergänzt, alles mit dem Herausgeberzertifikat signiert und wieder an deinen Browser zurückgeschickt. Damit liegen im Browser der private Schlüssel und das vollständige Zertifikat vor, und du kannst beides als Schlüsseldatei (.p12 oder .pfx) exportieren.
    Dies ist allemal sicherer.
    Nur, bei den Kostnix-Zertifikaten gibt es eben keine Identifizierung des Antragstellers. Genau das ist es, was bei der Herstellung eines höherwertigen Zertifikates den Preis ausmacht! Denn das kannst du nur mit Manpower realisieren!


    Aber ist dass wirklich (für unsere privaten Pillepalle-Mails erforderlich?
    Jeder, der sich ernsthaft mit dem Thema befasst, kann auf seiner Webseite seine persönlichen Zertifikate öffentlich zum Download anbieten. Einschließlich deren Hashwerte und der Herausgeberzertifikate. Jeder Mailempfänger kann dann selbst überprüfen. Und wenn ich einem Erstkontakt in meiner Mail meine Telefonnummer gebe, damit er mit mir den Hashwert bestätigen kann.
    Und zur Verschlüsselung ist ein derartiges Kostnix-Zertifikat (fast!) genau so gut geeignet, wie ein teueres Kaufzertifikat.
    (Auch wenn das für unsere Zwecke jenseits von Gut und Böse ist: Es gibt schon "kleine Unterschiede" zwischen einem durch den Pseudo-Zufallszahlengenerator des PC generierten Schlüssel und dem Schlüssel, der in einem Trustcenter durch den auf einer Mikroprozessorchipkarte integrierten qualifizierten kryptologischen Rauschgenerator direkt auf dieser Karte erzeugt wurde!)


    Soviel zum Thema ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo


    vielleicht wirklich mal prüfen ob "deine" Web.de root CAs in Ordnung sind. Die md5 Prüfsummen meiner funktionierenden sind:


    2a86ebeb194ee5c6d2b3ef2ca92da8cc webderoot.der


    43ccb953e18f3dbe0159d615e8c478ec webdeca.der


    Wenn sich das unterscheidet ...


    Gruß


    Andi