Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
* Thunderbird-Version: 31.6.0
* Betriebssystem + Version: Windows 8.1 / Windows Server 2012 R2
* Kontenart (POP / IMAP): POP
* Postfachanbieter (z.B. GMX): GMX
* S/MIME oder PGP: S/MIME
* Eingesetzte Antivirensoftware: Avast! FREE ANTIVIRUS
* Firewall (Betriebssystem-intern/Externe Software): Windows Firewall (und die NAT-Firewall natürlich)
Hallo,
und danke schon mal für die ausführlichen Informationen hier im Forum. Ich hoffe, dass die bei meiner anfrage ähnlich ausfallen, insbesondere von Peter_Lehmann.
ich beschäftige mich aktuell mit E-Mail-Verschlüsselung, da ich mit zwei Freunden verschlüsselt E-Mails austauschen möchte. Es geht also um keinen professionellen Einsatz.
Kurz mein Kenntnisstand:
- Ich weiß, was symmetrische und asymmetrische Verschlüsselungsverfahren sind.
- Daher kenne ich auch den Unterschied zwischen dem öffentlichen und privaten Schlüssel.
- Ich weiß, was eine Signatur ist und wie mit den genannten Verschlüsselungsverfahren signiert und verschlüsselt wird.
- Ich weiß, was Zertifikat und Zertifikatsketten sind.
- Mit Zertifikatsattributen kenne ich mich nicht besonders gut aus, insbesondere nicht mit den erweiterten.
Wir haben zuhause eine Zertifizierungsstelle unter Windows Server 2012 R2. Um die Vertrauensstellung einfach zu gestalten (und weil ich es kann ), habe ich bei meinen Freunden auf dem Rechner einen CSR mit openssl erstellt, damit der private Schlüssel nie den Zielrechner verlässt, und diesen anschließend in der Zertifizierungsstelle eingereicht. Dort habe ich eine Zertifikatsvorlage für sichere E-Mail erstellt. Das Zertifikat haben meine Freunde erhalten und anschließend mittels openssl daraus ein p12-Zertifikat erstellt.
Zum Versand haben meine Freunde zunächst Windows Live Mail 2012 verwendet und ich nutze Outlook 2010. Da aber Live Mail ständig die digitalen IDs der Kontakte vergisst oder nicht mehr lesen kann und ich dazu nichts gefunden habe, wollte ich mal einen anderen Client ausprobieren und habe mich Thunderbird zugewandt, was längst überfällig war.
Also habe ich in Thunderbird die Zertifikate der Root CA und der ausstellenden Sub CA als Zertifizierungsstellen installiert. Auch das p12-Zertifikat (mit dem privaten Schlüssel) ließ sich einfach installieren. Dann wollte ich die Personenzertifikate hinzufügen, was aber an der angehängten Meldung scheiterte. Das Zertifikat lässt sich allerdings als Server-Zertifikat importieren. Also habe ich mir eine signierte E-Mail zugeschickt, in der Hoffnung, ich könnte hierüber das Zertifikat importieren oder bekäme wenigstens weiteren Aufschluss. Aber auch hier wird die Gültigkeit bemängelt, wie der zweite Anhang zeigt, den ich aus Datenschutzgründen zensiert habe. Die Meldung bot natürlich einen Hoffnungsschimmer: Vertrauen in den Zertifizierungsstellen nicht gesetzt! Nein, das war leider auch nicht die Lösung. Bei Root und Sub CA sind alle Haken gesetzt.
Also habe ich mit anderen Zertifikaten versucht den Fehler einzugrenzen. Ich las hier im Forum von XCA. Das habe ich verwendet, um eine Root und eine Sub CA zu erstellen. Anschließend habe ich mein eigenes Zertifikat importiert und daraus eine Vorlage erstellt. Mithilfe dieser Vorlage habe ich anschließend ein Zertifikat signiert, das fast identische Attribute wie mein ursprüngliches hat. Aber dieses lässt sich importieren. (Natürlich erst nach dem Import der Root und der Sub CA meines Tests.) Einen Unterschied konnte ich nur in zwei Attribut Sperrlisten-Verteilungspunkte feststellen:
Beim ursprünglichen Zertifikat sind zwei URL-Angaben in einem Punkt vorhanden, beim neuen Zertifikat hingegen, sind sie in getrennten Punkten vorhanden. Diese Auswirkung habe ich ausgeschlossen, indem ich ein neues Zertifikat von meiner (echten) Zertifizierungsstelle ausgestellt habe, dass keine Sperrlisteninformationen enthält. Es tritt derselbe Fehler auf. Außerdem ist der Signaturalgorithmus verschieden: Beim alten ist er "RSASSA-PSS" und beim neuen "sha256RSA". Aber irgendwie kann ich mir nicht vorstellen, dass es daran liegt. Auf jeden Fall würde ich dann eine andere Fehlermeldung erwarten.
Ich habe auch versucht mich dem Problem über die anderen Attribute zu nähern, aber immer hat der Import bei meinem Testzertifikat funktioniert.
Hat vielleicht jemand hier eine Idee, was ich noch machen könnte?