Keine digitale Signatur trotz S/MIME Zertifikat [erl.]

  • Thunderbird-Version: 17.0.7
    Betriebssystem + Version: Windows 8
    Kontenart (POP / IMAP): IMAP
    Postfachanbieter (z.B. GMX): google
    SMIME oder PGP: S/MIME


    Hallo zusammen,


    ich möchte meine E-Mails digital signieren und verschlüsseln und habe mir dazu ein Level 1 Zertifikat beim Anbieter Startcom erstellen lassen. Das Zertifikat habe ich nach Anleitung (http://www.thunderbird-mail.de…l%C3%BCsselung_mit_S/MIME) installiert, dem Anbieter mein Vertrauen ausgesprochen, mein Mailkonto mit dem Zertifikat verknüpft und die digitale Signatur standardmäßig aktiviert.


    Das Problem ist nun, dass ich beim Verfassen einer neuen Mail unter "Ansicht - Nachrichtensicherheit" angezeigt bekomme, dass die Mail trotz meiner Meinung nach korrekter Einstellungen nicht digital unterschrieben ist.


    Hat einer eine Idee, was ich falsch mache?

  • Hallo majowive80,


    wenn du alles nach meiner Anleitung gemacht hast, müsste es eigentlich auch funktionieren. Also wird es an Irgendeiner "Kleinigkeit" liegen, wegen der es nicht funktioniert. Schauen wir uns das also aller der Reihe nach an.


    Wenn du dir das eigene Zertifikat anschaust, dann siehst du in der Zertifikats-Ansicht ganz genau den Herausgeber (Startcom) und die Seriennummer des (privaten) Schlüssels, mit welchem der Herausgeber dein eigenes Zertifikat signiert hat. Nebenbei auch die Gültigkeit des Herausgeberzertifikates, welches du natürlich auch anschauen solltest. Wichtig ist hier die Zertifikatsseriennummer des Herausgeberzertifikates. Diese am besten notieren.
    Nun schaust du dir das von dir installierte Herausgeberzertifikat an. Hier vergleichst du bitte dessen Seriennummer mit der von dir notierten. Stimmen beide überein? Wenn nicht, das richtige Herausgeberzertifikat installieren. (Ja, es kommt shehr häufig vor, dass die user das falsche Herausgeberzertifikat installieren ... .)


    Dann schaust du dir noch einmal ganz genau dein eigenes Z. an. Hier ist vor allem die korrekte E-Mailadresse relevant. Sie muss mit der von dir genutzten (deinem Absender) übereinstimmen. Das von dir importierte Zertifikat (richtiger: die von dir importierte Schlüsseldatei, denn sie enthält ja neben deinem Zertifikat auch deinen privaten Schlüssel) findest du unter "Ihre Zertifikate", und die zu importierende Datei hat die Endung .p12 oder .pfx?


    Das Aussprechen des Vertrauens in das Herausgeberzertifikat und die Zuordnung deines eigenen Z. zu deinem Mailkonto hast du ja lt. deiner (sehr gut gemachten!) Fehlerbeschreibung schon erledigt.


    Dann hast du geschrieben, dass du mit diesen Zertifikat verschlüsseln und signieren möchtest.
    Signieren geht in Ordnung, denn das machst du ja immer mit deinem eigenen privaten Schlüssel. Nur zum Verschlüsseln benötigst du zwingend noch die Zertifikate (= die öffentlichen Schlüssel) deiner Mailpartner. Zum Test kannst du selbstverständlich jederzeit eine Mail an deine eigene Adresse versenden, denn der dazu benötigte öffentliche Schlüssen ist ja in deinem Zertifikat enthalten. Wenn du jetzt im Editorfenster auf den kleinen Haken des S/MIME-Buttons klickst, müsstest du verschlüsseln und signieren anklicken können. Und wenn du auf den Button selbst klickst, müssten 2x "ja" und ein gültiges Zertifikat für deine Adresse zu sehen sein. => Was genau ist bei dir zu sehen.


    HTH


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    vielen Dank für Deine schnelle und ausführliche Hilfe! Ich weiß immer noch nicht ganz genau, woran es gelegen hat, aber auf jeden Fall funktioniert die digitale Signatur nun :) Nach dem ich noch mal alle Einstellungen überprüft hatte, habe ich das Zertifikat aus TB gelöscht, neu importiert und dem Herstellerzertifikat erneut das Vertrauen ausgesprochen, und siehe da, jetzt funktioniert es.


    Noch mal vielen Dank !


    Beste Grüße,


    majowive80

  • Hallo zusammen,


    bei ähnlichen Problemen mit den S/MIME-Zertifikaten kam ich auf diesen Thread. Auch bei mir galt am Ende ein "Irgendwann ging's!". Ich habe noch einige Ideen, was man versuchen kann. Ob's was bringt - nun, gebt gerne Rückmeldung!


    Jedes Jahr hole ich für meine diversen E-Mail-Konten neue S/MIME-Zertifikate bei StartSSL. Es könnte sein, dass sich Thunderbird verschluckt, wenn man mehrere Zertifikate gleichzeitig importiert. Eines hieß dann bspw. bei der Auswahl in den Konten nicht mehr wie die E-Mail-Adresse...


    Also: EIN Zertifikat importieren, das Zertifikat in den Konteneinstellungen auswählen, neu starten (kann ja nicht schaden...), Testmail aus dem Konto schreiben. Das für die anderen Konten wiederholen.


    Eine andere Möglichkeit, die für mich denkbar ist: Da ich jedes Jahr Probleme hatte, könnte es auch einfach sein, dass die Zertifikate von StartSSL schlicht eine gewisse Zeit brauchen, bis die Kommunikation korrekt funktioniert. Ich bin mir nicht sicher, ob da nicht doch eine Kommunikation mit der Zertifizierungsstelle stattfindet, die bewirkt, dass es zunächst noch abgelehnt wird. Mag aber sein, dass das Quatsch ist.


    Wie gesagt - nur so Gedanken und Möglichkeiten.


    Happy encryption!
    chimpo