COMODO Zertifikat wird nicht erkannt

  • HalloAuskenner,
    ichbin neu im Forum und kein Experte sondern Laie. Ich habe mich mal mitder Verschlüsselung von Emails versucht, leider funktioniert esnicht richtig.
    Ichhoffe, das ich mein Problem vernünftig beschreiben kann, falls ichwas auslasse, dann lasst es mich wissen-ich liefere dann nach.


    Mein-mail-Anbieter ist: Posteo
    Windows10 Pro
    TBVersion: 41


    Habemir nach der Anleitung von Posteo bei COMODO ein Zertifikatausstellen lassen und importiert. Anschließend aus FF exportiert undin den TB importiert.
    Dannden öffentlichen Schlüssel erstellt, an meinen -mail-Anbieterversendet und dort die Eingangsverschlüsselung aktiviert.
    EingehendeEmails werden auf dem Posteo-Server verschlüsselt abgelegt, mansieht auf dem Server nicht mehr den Text der Email.
    TBlädt die Emails auf den Laptop runter und stellt sie richtigdar. Soweit funktioniert alles und muss ja erst mal allesrichtig sein-denke ich. Sonst würde ja bei Posteo das nichtfunktionieren.


    Leiderfunktioniert der Versand mit TB von meinem Laptop nicht.
    Wennich NUR die Funktion: digitale Unterschrift" in denKonteneinstellungen von TB setze kann ich noch Emails versenden,setze ich aber die Funktion: "Verschlüsseln" dannfunktioniert der Versand nicht mehr und Ich bekomme folgendeFehlermeldung:
    Bitteüberprüfen sie, ob die Zertifikate , die für dieses Konto in denKonten-Einstellungen angegeben sind, für E-Mail gültig undvertrauenswürdig sind.


    ImTB ist nur das COMODO Zertifikat gespeichert, sonst nichts. Es istein SHA 256.


    Ichhoffe, das ich mich verständlich ausgedrückt habe, leider komme ichnicht weiter und bitte um Unterstützung.
    Gruss
    Peter753

  • Hallo Peter,


    ich vermute, Du bringst hier ein paar Dinge durcheinander. Im Zusammenhang mit E-Mail musst Du zwischen drei "Arten" der Verschlüsselung unterscheiden:

    • Transportverschlüsselung
      Hierbei wird die Verbindung zwischen den beteiligten Mailservern verschlüsselt. Angenommen, du möchtest von Posteo eine E-Mail an einen Empfänger bei der T-Online versenden. Dann nimmt der sendende Server von Posteo Kontakt mit dem empfangenden Server bei T-Online auf, verhandelte die Art der Verschlüsselung und sendet die E-Mail dann über eine sichere Verbindung. Die Übertagung vom TB an den Server bei Posteo erfolgt ebenfalls über eine so gesicherte Verbindung. Das geschieht in der Regel ganz ohne Dein Zutun. Mit welchen Anbietern das funktioniert, findest Du in der Übersicht bei Posteo.
      Das betrifft alles aber nur die Verbindung zwischen den Rechnern, also den Transport. Auf den Rechnern selbst, liegen die E-Mails nach wie vor unverschlüsselt vor.


    • Eingangsveschlüsselung bei Posteo
      Posteo speichert die E-Mails verschlüsselt auf ihren Servern. Das betrifft sämtliche E-Mails, also auch die, die andere Dir unverschlüsselt senden, allerdings nur für das Speichern auf dem Server von Posteo. Auf Deinem Rechner, auf den Servern, die für den Transport benutzt wurden und auf den Rechnern der Empfänger bzw. Sender liegen die E-Mails im Klartext vor.


    • Ende-zu-Ende-Verschlüsselung
      Hier werden die E-Mails selbst vor dem Versenden auf Deinem Rechner verschlüsselt und sind nur für den Empfänger lesbar. Sie sind dadurch sowohl auf dem Transport als auch auf den Servern der Provider nicht für andere lesbar.
      Es gibt dazu zwei verschiedenen Verfahren, PGP (GnuPG) und S/MIME. Beide Verfahren sind sicher, sind aber nicht zueinander kompatibel. Ich bevorzuge PGP, andere S/MIME.
      Beiden gemeinsam ist aber, dass sie nur funktionieren können, wenn die Mailpartner zuvor ihre öffentlichen Schlüssel ausgetauscht haben. Näheres dazu findest Du hier im Forum. TB unterstützt beide Verfahren. Die Webclients von beliebten Providern wie GMX oder Web.de und meines Wissens auch der von Posteo unterstützen aber nur PGP.

    Du hast nun offenbar zwar eine Eingangsverschlüsselung eingerichtet, möchtest aber Ende-zu-Ende verschlüsselt senden/empfangen. Das musst Du natürlich ebenfalls noch einrichten, die Schlüssel tauschen usw. . Siehe auch hier: https://posteo.de/hilfe?tag=ende-zu-ende


    Gruß


    Susanne

  • HalloSusanne,
    richtig,es geht mir um die Ende zu Ende Verschlüsselung. Die Schritte,die in dem Hilfebeitrag von Posteo beschrieben sind habe ichselbstverständlich komplett ausgeführt. Das ist alles imTB eingerichtet, trotzdem funktioniert der Versand von emails nicht.


    Fehlermeldung: Bitte überprüfensie, ob die Zertifikate , die für dieses Konto inden Konten-Einstellungen angegeben sind, für E-Mail gültigund vertrauenswürdig sind.


    Vielleichthat ja noch jemand anders eine gute Idee ?
    Gruß
    Peter

  • Hallo Peter,


    beschreibe doch bitte einmal genauer, welche Schritte Du ausgeführt hast. Es schadet auch nicht, wenn Du Dich hier im Forum etwas umschaust, um besser zu verstehen, wie Verschlüsselung vom Prinzip her funktioniert.


    Du schreibst zwar:

    es geht mir um die Ende zu Ende Verschlüsselung.

    hast oben aber nur den Weg für Eingangsverschlüsselung beschrieben. Insbesondere geht aus Deiner Beschreibung nicht hervor, dass Du einen öffentlichen Schlüssel zu der E-Mailadresse des E-Mailpartners importiert hättest. Den benötigst Du aber zwingend, wenn Du ihm eine verschlüsselte Nachricht zukommen lassen willst.


    Gruß


    Susanne

  • HalloSusanne,
    mirist schon klar, das die Eingangsverschlüsselung bei Posteo und eineEnde zu Ende Verschlüsselung zwei verschieden Dinge sind.
    Offenbarhabe ich mich missverständlich ausgedrückt-sorry.


    Dadie Ende zu Ende Verschlüsselung mit dem COMODO Zertifikat NICHTfunktionierte habe ich einfach mal einen anderen Anbieterausprobiert.
    Habemir ein Zertifikat von STARTCOM besorgt, exakt die selben Schrittewie beim ersten Versuch gemacht, das Vertrauen ausgesprochen usw.
    Undsiehe da, alles funktioniert problemlos.
    Wieschon erwähnt, ich bin Laie und kein Profi. Man kann spekulieren obder Fehler bei mir lag oder etwas mit COMODO zu tun hatte. Für michzählt das Ergebnis !!!
    Übrigens,eine signierte/unterschriebene und verschlüsselte Mail kann ich mirja zu Testzwecken selber zuschicken (von und an mich selber)
    Vielleichthilft die Info ja anderen, die mit demselben Problem kämpfen.
    Gruß
    Peter

  • Hallo Peter,


    Ich kann jetzt nur von der von dir geposteten Fehlermeldung ausgehen.


    "für E-Mail geeignet, gültig und vertrauenswürdig... "
    Ich gehe davon aus, dass Letzteres nicht zutraf. Also, dass das von COMMODO genutzte CA-Zertifikat nicht installiert war. Und dabei kommt es exakt auf das richtige Zertifikat an (Seriennummer oder Hashwert).


    Kannst du das durch einen Vergleich prüfen?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,


    jetzt wieder an einem "richtigen" Rechner ... .


    Ja, der allgemein bekannte Vorwurf war ja nicht aus der Luft gegriffen. Aber im aktuellen Thunderbird sind ggw. sechs Herausgeberzertifikate als "BuiltIn Objekt Token" aufgeführt, also von Mozilla bereits installiert. (Das von Verbrechern - man vermutet einen <Selbstzensur> - bei der illegalen Produktion eines Zertifikats von einem bekannte Mailprovider genutzte echte Herausgeberzertifikat wurde sofort zurückgezogen und gesperrt. Diese Sperrung haben alle Betriebssysteme und auch Hersteller von Browsern und Mailclients übernommen.)


    Ich schrieb ja von einem Vergleich:

    • Das heruntergeladene und importierte Benutzer-Zertifikat mit "Ansehen" anzeigen lassen. Dort sämtliche eingetragene persönliche Daten auf Plausibilität prüfen. Und dann auf "Details" gehen > den Herausgeber anklicken (COMMODO) und dort den Namen des Herausgebers (der CA), die Gültigkeit (Validität) des zur Signatur genutzen (Herausgeber-)Zertifikats und vor allem dessen Seriennummer aufschreiben. Selbstverständlich muss das heutige Datum innerhalb der "Validität" liegen. Schließen.
    • Jetzt auf "Herausgeber" gehen und die aufgeschriebenen Daten mit den unter "COMMODO" stehenden sechs Zertifikaten vergleichen.


    Kryptologie ist eine sehr penible Wissenschaft. Wenn da was nicht stimmt, wird das Zertifikat nicht anerkannt.
    Sollte der in deinem eigenen Z. eingetragene Herausgeber nicht im TB eingetragen sein, kannst du von jedem etablierten TrustCenter deren aktuelle Zertifikate downloaden und im TB manuell importieren. Wichtig: ihm dann auch das Vertrauen aussprechen.


    Einem importierten (von dir bewusst, oder automatisch aus einer signierten E-Mail eines Mailpartners) Zertifikat darfst du nicht noch einmal das Vertrauen aussprechen! Es wird immer automatisch das Vertrauen des vorgeordneten Herausgebers übernommen. (Vertraust du, dass das Zertifikat des Herausgebers "echt" ist, vertraust du auch der Gültigkeit aller von ihm signierten Benutzer-Zertifikate. (Wobei dieses Vertrauen bei einem Kostnix-Zertfikat ohne echte Personenüberprüfung sehr vage ist!)



    OK?



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,


    Ich gehe davon aus, dass Letzteres nicht zutraf. Also, dass das von COMMODO genutzte CA-Zertifikat nicht installiert war.

    Vielleicht hat Letzteres damit zu tun, dass Comodo in der Vergangenheit mal vorgeworfen wurde, ungeprüft Zertifikate auszustellen bzw. ausgestellt zu haben...


    das sollte (eigentlich) ausgeschlossen sein. Posteo "empfiehlt" in den Anleitungen ein Zert von Comodo und beschreibt auch sehr ausführlich, wie man es erstellt. Siehe https://posteo.de/hilfe/wie-er…-ein-smime-schluesselpaar


    Gruß


    Susanne

  • Nun, mir kam es in meinem Beitrag an, die Ursache zu finden.
    Und mein einziger "Aufhänger" war die auszugsweise zitierte Fehlermeldung ... .


    Nachschauen und vergleichen kost nix. Und übt und fördert Verständnis. ;-)

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo zusammen, beim Versuch, mir ein Free Secure Email Certificate von Comodo einzurichten, scheitere ich daran, mir unter „Einstellungen“, „Erweitert“ unter „Zertifikate verwalten“ das Intermediate Certificate „COMODOSHA256ClientAuthenticationandSecureEmailCA.crt“

    als SSL-Zertifizierungsstelle einzurichten. Der Import klappt zwar, aber wenn man sich das Zertifikat dann anschaut, erkennt man oben den Vermerk „Dieses Zertifikat konnte nicht verifiziert werden, da der Aussteller unbekannt ist.“ Das Root-Zertifikat „AddTrustExternalCARoot.crt“ ist aber erfolgreich hinterlegt. Wie lässt sich das Problem in den Griff bekommen?