S/MIME – Digitale Unterschrift ist nicht gültig

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 31.5.0
    * Betriebssystem + Version: Linux 3.11-2-amd64 #1 SMP Debian 3.11.8-1 (2013-11-13) x86_64 GNU/Linux
    * Kontenart (POP / IMAP): IMAM
    * Postfachanbieter (z.B. GMX): www.mail.de
    * S/MIME oder PGP: S/MIME


    Hallo und guten Tag,
    ich habe folgende zwei Zertifikate in Thunderbird importiert und diesen auch mein Vertrauen ausgesprochen:

    • Bw V-PKI CA 2014
    • PCA-1-Verwaltung-14


    Diese habe ich von http://x500.bund.de/directory/f_nav_cert.html Danach habe ich mir ein signiertes Mail schicken lassen. Leider wird die Signatur als nicht gültig ausgegeben. Ich habe zum Test es mit dem Mail-Client "Evolution" und unter Android mit "K-9 Mail/DJIGZO" probiert. Bei beiden treten keine Fehler auf. Die Unterschrift wird als gültig ausgegeben.


    Bei Thunderbird wird folgende Meldung ausgegeben:

    Zitat

    Digitale Unterschrift ist nicht gültig
    Diese Nachricht enthält eine digitale Unterschrift, aber die Unterschrift ist ungültig.
    Das Zertifikat, das zum Unterschreiben der Nachricht verwendet wurde, wurde von einer Zertifizierungsstelle herausgegeben, der Sie für diese Art von Zertifikaten nicht vertrauen.


    Unterschreiben von: Mustermann
    E-Mail-Adresse: Mustermann@bundeswehr.org
    Zertifikat herausgegeben von: Bw V-PKI CA 2014


    Im Zertifikat-Manager finde ich unter "Personen" ein Zertifikat mit Name:

    Zitat

    -- PKI-1-Verwalung
    Mustermann --- 26.06.2019 --- Mustermann@bundeswehr.org


    Drücke ich dort "Vertrauen bearbeiten ..." wird folgendes Angezeigt:

    Zitat

    Das Zertifkat Mustermann wurde ausgestellt von:
    CN=Bw V-PKI CA 2014,OU=Bundeswehr,O=PKI-1-Verwaltung,C=DE
    ...


    Drücke ich dort auf den Button "CA-Vertrauen bearbeiten" bekomme ich folgende Fehlermeldung:

    Zitat

    Das Zertifikat für diese Zertifizierungsstelle wurde nicht gefunden


    Was mir ein Rätsel ist. Ich habe das Zertifiakt "CN=Bw V-PKI CA 2014,OU=Bundeswehr,O=PKI-1-Verwaltung,C=DE" importiert und ich vertraue dem auch.


    Für Tests kann ich bei bedarf eine signierte Mail versenden.


    Was muss ich machen, damit die Signaturen in Thunderbird als gültig angesehen werden?


    Gruß und Dank im Voraus für jeden Tipp.
    enero99

  • Hi,


    Schau dir mal die Gültigkeitsdauer der beiden Zertifikate an.
    Das BSI richtet jedes Jahr im Dezember eine neue Jahres-CA ein, und die nachgeordneten TrustCenter Anfang des Folgejahres. Und 2014 gab es bei der Bw, wenn ich mich recht daran erinnere, sogar zwei CA.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,
    vielen Dank für deine Mühe und Antwort.
    Ich habe die Gültigkeitsdauer kontrolliert und kann irgendwie keinen Fehler finden:


    Mustermann.pem.txt

    Zitat

    Validity
    Not Before: Jun 26 06:45:01 2014 GMT
    Not After : Jun 26 06:45:01 2019 GMT


    Bw V-PKI CA 2014.der.txt

    Zitat

    Validity
    Not Before: Mar 12 10:06:20 2014 GMT
    Not After : Mar 12 23:59:59 2020 GMT


    PCA-1-Verwaltung-14.der.txt

    Zitat

    Validity
    Not Before: Dec 1 00:00:00 2013 GMT
    Not After : Dec 31 23:59:59 2023 GMT


    Wo soll da ein Fehler sein?

    Zitat

    Not Before: 01.12.2013 < 12.03.2014 < 26.06.2014
    Not After: 31.12.2023 > 12.03.2020 > 26.06.2019


    Habe auch mal zum Test alle gültigen Zertifikate installiert. Leider auch ohne Erfolg.


    Gruß und Dank im Voraus
    enero99

  • Du hast Recht. Durch die Umstellung auf SHA-256 war das vor einem Jahr alles ein wenig anders als die Jahre vorher. Aber in diesem Fall wurde in beiden Fällen das 2014er Zertifikat verwendet.
    DJIGZO nutzt CRL. Die können ja auch öffentlich heruntergeladen werden. Die neueren TB-Versionen nutzen nur noch OCSP. Im Zertifikat ist die Adresse für den OCSB-Responder angegeben. Hast du unter Validierung OCSP aktiviert? Mal ein- oder ausschalten.
    Auf jeden Fall kann ich dir mit Sicherheit bestätigen, dass es 12 Jahre lang gut funktioniert hat, auch mit dem Thunderbird ... .



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,
    OCSP ist aktiviert; ich habe es auch probiert mit deaktiviert.
    Leider keine Änderung.
    mfg
    enero99