Falsches Client-Zertifikat bei SMTP-Server-Connect / Autom. Auswahl fehlerhaft u. manuelle Auswahl nervig

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 31.7.0
    * Betriebssystem + Version: Linux Mint 17.1
    * Kontenart (POP / IMAP): IMAP
    * Postfachanbieter (z.B. GMX): eigener
    * S/MIME oder PGP: beides
    * Eingesetzte Antivirensoftware: keine
    * Firewall (Betriebssystem-intern/Externe Software): iptables



    Gegeben ist:


    * 5 Client-Zertifikate zur Verwendung als S/MIME, aber auch als Authentifizierung am SMTP-Server
    * die 5 Accounts werden in meinem Fall vom gleichen SMTP-Server bedient (versch. Domänen, aber gleicher Host)



    Fehlerbild:


    * Thunderbird wählt bei Einstellungen/Erweitert/Zertifikate/Automatisch_eins_wählen immer das gleiche Zertifikat, eben auch unpassend zu den E-Mail-Domains
    * bei Einstellungen/Erweitert/Zertifikate/Jedes_Mal_fragen gibt es dann eine relativ unübersichtliche Liste der 5 Client-Zertifikate, welche die immer wieder zu treffende Auswahl sehr umständlich macht



    Lösung:


    Man könnte


    a) Thunderbird auf die SMTP-Anfrage hin automatisch das Client-Zertifikat vorzeigen lassen, welches auch bei den S/MIME-Einstellungen (Konto/SMIME-Sicherheit) für das jeweilige Konto festgelegt ist, oder
    b) in den SMTP-Einstellungen das für das jeweilige Konto zu verwendende Zertifikat konfigurierbar machen



    Vielleicht wird dies ja von einem entprechenden Entwickler gelesen. ;-)


    Danke!



    BlueStar88

  • Hallo BlueStar88,
    und willkommen im Forum! (<= Ja, so viel Zeit nehme ich mir hier ... .)



    Wenn ich das richtig verstanden habe, dann nimmst du zur Auth das Verfahren "TLS-Zertifikat" und dabei das gleiche Zertifikat, welches du für S/MIME nutzt.
    Auch wenn ich mich sehr lange beruflich mit X.509-Zertifikate befasst habe, kann ich mich nicht daran erinnern, jemals ein System gesehen zu haben, welches diese auch praktisch zur Benutzerauthentisierung genutzt hat (wenn wir jetzt mal den Mechanismus von LoNo mit der "Notes-ID" außer Acht lassen). Und schon gar nicht in Verbindung mit dem Thunderbird. (Obwohl ich persönlich dieses als die sicherste Methode zur Authentisierung halte!)
    Fazit: keinerlei praktische Erfahrung und somit auch keine Möglichkeit, dir in diesem speziellen Fall zu helfen. (Die Zahl derer, die sich praktisch mit X.509-Zertifikaten befasst haben hält sich hier sehr in Grenzen ;) ... .)


    Vielleicht wird dies ja von einem entprechenden Entwickler gelesen.

    Hier muss ich dich leider enttäuschen.
    Wie du vlt. weißt, gibt es hier nur "ganz normale User". Solche, die Fragen stellen, und solche, die aufgrund ihrerer Erfahrung den ersteren freiwillig, unbezahlt und in ihrer Freizeit helfen wollen. Entwickler lesen hier nicht mit. Du kannst sie aber hier: https://bugzilla.mozilla.org/ (eventuell) erreichen.
    Ich möchte dich aber an dieser Stelle von übertriebenen Erwartungen warnen.
    Die Zahl der Entwickler, die am TB arbeiten, hält sich "sehr in Grenzen" und das Thema S/MIME wird extrem stiefmütterlich behandelt (der TB ist wohl der letzte nennenswerte MUA, welcher bei S/MIME immer noch 3DES nutzt - obwohl er perfekt mit erhaltenen AES-verschlüsselten Mails umgehen kann!). Und da ich wie o.g. in all den Jahren noch nie etwas von der praktischen Nutzung von Zertifikaten zur Auth. mitbekommen habe, kannst du dir vorstellen, welche "Bedeutung" das für die noch vorhandenen Entwickler haben wird.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • @Peter


    Danke für den Hinweis. Ich habe das Auth-Verfahren wieder abgestellt und benutze S/MIME nur noch zum Signieren und Verschlüsseln.


    Bleibt nun noch zu hoffen, dass sich die beiden Modi "PGP" und "S/MIME" zukünftig nicht mehr so oft auf die Füße treten, wenn ein E-Mail-Konto für beides ausgelegt ist. Thunderbird reagiert leider noch nicht geschickt genug, z.B. sollte sich die standardmäßig aktivierte S/MIME-Signatur abschalten, wenn man auf eine PGP-Mail antwortet. In einem intensiven PGP-Schriftwechsel muß man immer daran denken, die S/MIME-Sig abzuschalten, damit nicht von beiden Modi signiert wird.




    Gruß


    BlueStar88