Dieses Zertifikat kann nicht verifiziert werden ... (Zertifikat des Empfängers, nicht des Senders)

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: Icedove 38.5.0
    * Betriebssystem + Version: Debian Linux jessie
    * Kontenart (POP / IMAP): beide
    * Postfachanbieter (z.B. GMX): viele
    * Eingesetzte Antivirensoftware: clamav
    * Firewall (Betriebssystem-intern/Externe Software): iptables


    Liebe Community!


    Ich versuche eine verschlüsselte E-Mail an eine Behörde in Österreich zu senden. Dazu habe ich das SMIME-Zertifikat des Empfängers erhalten, aber kein Zertifikat für die CA (ist eine behördeneigene und somit nicht vertraut).
    Wenn ich versuche, es unter "Personen" zu importieren, kommt die Meldung: "Dieses Zertifikat kann nicht verifiziert werden und wird nicht importiert. Der Aussteller des Zertifikats ist möglicherweise unbekannt oder ihm wird nicht vertraut, das Zertifikat könnte abgelaufen oder widerrufen worden sein, oder es wurde möglicherweise nicht akzeptiert."
    Habe im Netz gesucht und viele Hinweise gefunden, was schief laufen kann, wenn man *eigene* Zertifikate nicht importieren kann. Der einzige Hinweis für *Empfängerzertifikate* war, (selbstsignierte) Zertifikate als Zertifizierungsstelle zu importieren. Dann kommt aber die Fehlermeldung "Dies ist kein Zertifikat für eine Zertifizierungsstelle und kann deshalb nicht in die Liste der Zertifizierungsstellen importiert werden.".


    Wie bekomme ich dieses Empfängerzertifikat in meinen Client?


    Danke,
    Franz

  • Servus Franz,

    Dazu habe ich das SMIME-Zertifikat des Empfängers erhalten, aber kein Zertifikat für die CA (ist eine behördeneigene und somit nicht vertraut).

    Da hast es schon richtig erkannt. Du benötigst zusätzlich das Zertifikat der CA. Dieses musst Du als Zertifizierungsstelle importieren und ihm das Vertrauen aussprechen. Wenn Du die CA kennst, schau auf deren Seiten. Andernfalls frag bei der Behörde nach.


    Gruß


    Susanne

  • Liebe Susanne!


    Danke für die Antwort.
    Nachfrage bei der Behörde ist bereits erfolgt. Die Antwort war:
    "Bei allen anderen funktioniert es, dass das Zertifikat eingespielt werden kann. Nehmen sie halt ein ordentliches E-Mail Programm."
    Offenbar sind Outlook und Konsorten hier nicht so genau.
    Auch bei Thunderbird glaube ich mich erinner zu können, dass es früher die Möglichkeit gab, solche Zertifikate zu importieren (nach entsprechenden Hinweisen und Bestätigungen, wie bei https-Zertifikaten). Ist ja auch durchaus sinnvoll, ich kann schließlich einschätzen, wie vertrauenswürdig das Zertifikat ist.
    Vielleicht gibt es diese Möglichkeit ja noch immer, halt nur gut versteckt.
    Wenn nicht, werde ich mir wohl einen anderen Mail-Client suchen müssen, denn absolute Bevormundung schmeckt mir gar nicht.


    lg,
    Franz

  • Hallo franz2016,


    ..., denn absolute Bevormundung schmeckt mir gar nicht.


    aber die betreffende Behörde darf das?


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Servus Franz,


    ich bin fast ein wenig erschüttert, dass eine Behörde nicht die Möglichkeit einräumt, die Echtheit des Zertifikats zu überprüfen. Ich könnte das bei Privatpersonen verstehen, die sich persönlich kennen. Aber bei einer Behörde? Ich vermute, die Leute, mit denen Du in Kontakt warst, wissen es einfach nicht besser.


    Auch bei Thunderbird glaube ich mich erinner zu können, dass es früher die Möglichkeit gab, solche Zertifikate zu importieren ...

    Ich weiß nicht, ob es diese Möglichkeit gab. Ich habe zu den wenigen Zertifikaten von Personen auch jeweils die der CAs. Ich wüsste ad hoc keine Möglichkeit, ein Zertifikat zu importieren, dessen CA unbekannt ist bzw. der nicht vertraut wird.
    Ob andere Mailclients das erlauben, entzieht sich ebenfalls meiner Kenntnis. Falls Du ein Outlook greifbar hast, kannst Du es ja einmal ausprobieren.


    Nun wird die Behörde dieses Zertifikat sicher nicht nur dazu benutzen, dass Du E-Mails an die Behörde verschlüsseln kannst, sondern auch dazu, dass Du von dieser Behörde signierte E-Mails empfangen kannst. Ohne eine vertrauenswürdige CA ist das ziemlich sinnlos. Umgekehrt wird die Behörde doch auch keine Signatur anerkennen, die SusiTux selbst erstellt und beglaubigt hat.


    Ich vermute deshalb, dass es bei dieser Behörde schon jemanden gibt, der sich auskennt und der Dir das Zertifikat der CA zu Verfügung stellen kann. Vielleicht liegt es sogar auf deren Webseite. Du bist wohl nur an jemanden geraten, der mit Deiner Anfrage überfordert war.


    Gruß


    Susanne

  • Hallo,


    wenn das X.509-Zertifikat (S/MIME) des Empfängers kein selbstsigniertes ist, dann kann doch aus dem Zertifizierungspfad das Stammzertifikat extrahiert und in Thunderbird importiert werden.


    mfg Volker

    PGP Key ID (RSA 1024): 0xBE556595
    MD5 Fingerprint: BE46 138F DF90 B019 CBF0 EE36 2F30 9775

  • Hallo Volker,


    das ist mir neu. Wie machst Du das? Das Zertifikat einer Person enthält doch nur die Signatur der CA und nicht das Stammzertifikat.(?)



    Gruß


    Susanne

  • Hallo,


    die Vorgehensweise kann ich nur für Outlook Express unter Windows beschreiben:


    Liegt eine E-Mail vor, die vom Absender digital signiert ist (S/MIME digital signiert), dann kann das Signaturzertifikat mit der Schlüsselverwendung "Sichere E-Mail" i.d.R. auch zum Verschlüsseln verwendet werden. Es entspricht dem Zertifikat des Absenders.


    Das Signaturzertifikat kann in Outlook Express angezeigt werden. Unter dem Zertifizierungspfad ist dann die Kette bis zum Stammzertifikat zu sehen. Das Stammzertifikat kann angezeigt und in eine Datei (.cer), Base-64-codiert, kopiert werden. Diese Datei (.pem) kann dann als Stammzertifikat in Thunderbird importiert werden.


    mfg Volker

    PGP Key ID (RSA 1024): 0xBE556595
    MD5 Fingerprint: BE46 138F DF90 B019 CBF0 EE36 2F30 9775

  • Hallo Volker,


    Liegt eine E-Mail vor, die vom Absender digital signiert ist (S/MIME digital signiert), dann kann das Signaturzertifikat [...]zum Verschlüsseln verwendet werden.

    Das funktioniert ähnlich einfach auch im TB, wenn die CA bereits bekannt ist und ihr vertraut wird.


    Das Stammzertifikat kann angezeigt und in eine Datei (.cer), Base-64-codiert, kopiert werden.

    Kann es sein, dass dieses Stammzertifikat bereits vorhanden war? Der TB bringt ja ebenfalls einen ganze Reihe bekannter CAs mit.



    Gruß


    Susanne

  • Kann es sein, dass dieses Stammzertifikat bereits vorhanden war? Der TB bringt ja ebenfalls einen ganze Reihe bekannter CAs mit.


    Gruß


    Susanne


    Hallo,



    nein, i.d.R. wird mit dem Signaturzertifikat die ganze Kette bis zum Stammzertifikat mitgeliefert, unabhängig davon, ob das Stammzertifikat bereits im Zertifikatsspeicher vorliegt. Daher kann das Stammzertifikat nachträglich in Thunderbird importiert werden und das Vertrauen ausgesprochen werden.


    Zumindestens mit Outlook Express unter Windows funktioniert das so.



    mfg Volker

    PGP Key ID (RSA 1024): 0xBE556595
    MD5 Fingerprint: BE46 138F DF90 B019 CBF0 EE36 2F30 9775

  • i.d.R. wird mit dem Signaturzertifikat die ganze Kette bis zum Stammzertifikat mitgeliefert, ...

    Sollte das stimmen, wäre mir das neu. Meines Wissens ist der Aussteller selbstverständlich aufgeführt, aber ohne dass das "Stammzertifikat" dabei wäre.


    Hast Du das OE noch noch verfügbar und würdest Du einen Test durchführen? Ich könnte Dir eine signierte E-Mail senden, dessen CA mit Sicherheit noch nicht im OE vorhanden ist. Du müsstest mit dann eine verschlüsselte E-Mail senden können.


    Nachtrag:
    Ich bin zwar eigentlich schon so gut wie auf dem Heimweg, aber das will mir jetzt doch keine Ruhe lassen. ;-)


    Es ist funktioniert doch so, dass die Echtheit des Zertifikats einer Person durch die Signatur des Ausstellers bestätigt wird.
    Dass nun nun auch die Signatur dieses Ausstellers korrekt ist, wird durch den öffentlichen Schlüssel des Ausstellers überprüft. Dieser ist wiederum Teil eines Zertifikats mit der Signatur eines Ausstellers. So geht es weiter, bis hinauf zur Root-CA als der obersten Zertifizierungsstelle.
    Wäre nun alle die Zertifikate in dem einem Zertifikat der Person enthalten würde das dem Prinzip doch komplett widersprechen.


    Also, ich glaube das erst, wenn ich sehe.

    Einmal editiert, zuletzt von SusiTux ()

  • Es ist funktioniert doch so, dass die Echtheit des Zertifikats einer Person durch die Signatur des Ausstellers bestätigt wird.Dass nun nun auch die Signatur dieses Ausstellers korrekt ist, wird durch den öffentlichen Schlüssel des Ausstellers überprüft. Dieser ist wiederum Teil eines Zertifikats mit der Signatur eines Ausstellers. So geht es weiter, bis hinauf zur Root-CA als der obersten Zertifizierungsstelle.


    Das ist richtig. Die Korrektheit des Signaturzertifikats wird in der Kette bis zum Stammzertifikat geprüft. Damit ist das Signaturzertifikat aber noch nicht vertrauenswürdig. Erst wenn das Stammzertifikat auch im Zertifikatsspeicher für vertrauenswürdige Stammzertifizierungsstellen vorliegt, wird der Vertrauensstatus des Ausstellers übernommen und das Signaturzertifikat als vertrauenswürdig eingestuft.



    Übrigends handhabt Outlook Express den Vertrauensstatus nicht so streng wie Thunderbird. Das Signaturzertifikat kann auch explizit im Adressbuch als vertrauenswürdig eingestuft werden, ohne dass das Stammzertifikat importiert werden muss.


    mfg Volker

    PGP Key ID (RSA 1024): 0xBE556595
    MD5 Fingerprint: BE46 138F DF90 B019 CBF0 EE36 2F30 9775

  • Hallo Volker,


    ich habe gestern Abend noch ein Zertifikat erstellt. Wie erwartet enthält es kein "Stammzertifikat" sondern lediglich die Angaben zum Herausgeber und dessen Unterschrift. Siehe selbst:

    Somit lässt sich daraus auch kein Zertifikat der CA extrahieren. Ich vermute deshalb nach wie vor, dass es in Deinem Fall entweder bereits vorhanden war, oder dass Du diese Möglichkeit benutzt hast:


    Übrigends handhabt Outlook Express den Vertrauensstatus nicht so streng wie Thunderbird. Das Signaturzertifikat kann auch explizit im Adressbuch als vertrauenswürdig eingestuft werden, ohne dass das Stammzertifikat importiert werden muss.

    Das wäre ja auch der Wunsch von Franz. Meines Wissens lässt der TB hier aber nicht mit sich reden und bleibt streng. Kein vertrautes Zertifikat des Ausstellers - kein Import eines Zertifikats, das von diesem ausgestellt wurde.


    Man kann sicher darüber streiten, ob diese Strenge notwendig ist. Im privaten Umfeld sehe ich das auch etwas entspannter. Bei einer Behörde, also einem amtlichen Akt, würde ich aber einen anderen Maßstab anlegen.
    Ich halte es nicht für angebracht, dass eine Behörde ein Zertifikat zur Verfügung stellt, dessen Echtheit nicht überprüft werden kann.


    Gruß


    Susanne

  • Hallo Volker,


    ich habe gestern Abend noch ein Zertifikat erstellt. Wie erwartet enthält es kein "Stammzertifikat" sondern lediglich die Angaben zum Herausgeber und dessen Unterschrift...


    Möglicherweise bezieht das Kommando "openssl x509 -in Test.crt -noout -text" nicht alle Zertifikate im Zertifizierungspfad ein oder Test.crt besteht wirklich nur aus dem Zertifikat von "Subject"? Ich bin selbst im Zweifel.



    Meine Vorgehensweise nach dem Empfang einer digital signierten E-Mail (S/MIME) in Outlook Express, deren Stamm- und Zwischenzertifikat nicht im Zertifikatsspeicher vorhanden und auch nicht öffentlich verfügbar sind, ist die:



    (1) Digitale ID anzeigen -> Zertifizierungspfad -> Stamm- und Zwischenzertifikat jeweils anzeigen und in eine Datei kopieren (Base-64-kodiert .CER).



    (2) Stamm- und Zwischenzertifikat in den Zertifikatsspeicher von Windows importieren.



    (3) Das gleiche Ergebnis erhält man, wenn im "Sicheren Quelltext" der E-Mail die Base-64-kodierte Anlage als Datei "smime.p7s" gespeichert wird. Nach dem Öffnen können dann explizit Stamm- und Zwischenzertifikat in eine Datei gespeichert werden.



    Das kann ich mir nur so erklären, dass Stamm- und Zwischenzertifikat in "smime.p7s" bereits mitgeliefert werden.




    mfg Volker

    PGP Key ID (RSA 1024): 0xBE556595
    MD5 Fingerprint: BE46 138F DF90 B019 CBF0 EE36 2F30 9775

  • Hallo Volker,


    ich habe mir inzwischen ein Class-2 Zertifikat eines Kunden angeschaut und auch die Wikipedia bemüht. Unter https://de.wikipedia.org/wiki/X.509 findet sich ein Beispiel für ein X.509-Zertifikat. Beide sehen genauso aus wie meines, d.h. sie enthalten neben den "Verwaltungsangaben" jeweils nur den Public Key und die Signatur des Herausgebers.


    Ich kann nicht erklären, weshalb in Deinem Fall das Ausstellerzertifikat enthalten zu sein scheint. Vielleicht hängst es vom Export-Format ab?
    Dazu müsste man wohl einen tieferen Blick in RFC 2315 und Co. werfen. Dazu fehlt mir allerdings die Muße. Ich benutze S/MIME noch wesentlich seltener als GnuPG. Und das will was heißen, denn die Zahl meiner Mailpartner, die überhaupt verschlüsseln/signieren ist leider nach wie vor leicht abzählbar. @Peter_Lehmann könnte das wissen. Er ist "eingefleischter" SMIMEr.


    Du könntest ja ebenfalls einmal openssl auf Dein *.p7s loslassen.


    Gruß


    Susanne