Zertifikat nicht verifizierbar

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 45.6.0
    * Betriebssystem + Version: macOS Sierra 10.12.2
    * Kontenart (POP / IMAP): IMAP
    * Postfachanbieter (z.B. GMX): yahoo und weitere
    * Eingesetzte Antivirensoftware: -
    * Firewall (Betriebssystem-intern/Externe Software): NAT an Router


    Nach langem Suchen und Lesen, habe ich bisher eine brauchbare Lösung noch nicht gefunden. Auch die Anleitung im Lexikon habe ich gelesen.
    Ich hoffe, ich finde die Hilfe hier.


    Mein Problem: TB will partout ein Zertifikat von jemand, an die ich eine verschlüsselte Mail schicken will, nicht richtig annehmen:
    "Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden"


    Das habe ich bisher gemacht:
    - Zertifikat des Ausstellers (=Datev eG) aus der Webseite www.datev.de (kann jeder machen) runtergeladen, genau genommen "CA DATEV BT 02".
    - Das selbe Zertifikat in TB importiert bei den "Zertifizierungsstellen".
    - Dort das Vertrauen ausgesprochen, dass dieses Zertifikat E-Mail-Benutzer identifizieren darf.
    - Daraufhin das öffentliche Zertifkat (mit "CA DATEV BT 02" unterschrieben) der o.g. Person, die die Mail empfangen soll, unter "Personen" importiert, was ich vorher aus einer Testmail extrahiert habe.
    - Selbstverständlich habe ich ein eigenes Zertifkat (der Klasse 1 von StartSSL), mit dem ich Mails unterschreiben/signieren kann.


    Wenn ich auf "Ansehen" gehe, sehe ich leider die o.g. Fehlermeldung. Ich gebe noch weitere Infos: Die Gegenstelle ist Microsoft-Nutzer, ergo Outlook. Die Gegenstelle kann auch ganz enspannt mir eine verschlüsselte Mail nach Import meines Zertifikats senden, was ich am verschlossenen Schloss unter TB sehen kann und den Mailinhalt lesen kann.


    Weitere Infos des Empfänger-Zertifikats: Unter "Zertifikatsname" steht der normale Name, also "Vorname Nachname". Die E-Mail-Adresse ist in der Hierarchie des Zertifikats drin, wird aber von TB klaglos erkannt.


    Was mache ich falsch? Mache ich was falsch?


    Danke für die Hilfe bereits jetzt.

    Thunderbird 45.7.x, macOS Sierra 10.12.x und Windows 10 Pro, 1607, 64bit
    IMAP, yahoo-Mail

  • Hallo enti! und willkommen im Forum! (<= Ist doch schön, begrüßt zu werden, oder?)


    Nach deiner ausführlichen Beschreibung hast du eigentlich alles richtig gemacht.
    Ich habe mir mal die Übersicht der Herausgeberzertifikate der Datev angesehen und festgestellt, dass dies recht viele sind. Woher weißt du, dass du das richtige importiert hast?
    Entweder einfach alle importieren (schadet nicht!) oder einen anderen Weg gehen.


    Ich würde mir von dem Absender sein Zertifikat einfach mal als Datei schicken lassen. Entweder im .pem oder im .cer Format. Dieses Zertifikat (Z. ist immer nur der öffentliche Teil, kann also problemlos verschickt werden) kannst du in den Zertifikatsspeicher deines Betriebssystems importieren und dort genau ansehen. Daraus kannst du neben den Daten des Absenders auch das Zertifikat entnehmen, mit dem sein Z. signiert wurde. Nun kannst du auf jeden Fall prüfen, ob du das richtige importiert hast oder eben "nachziehen".


    Und wenn das richtige Herausgeberzertifikat importiert ist, dann das empfangene Z. des Absenders als Datei importieren.



    Mit freundlichen Grüßen!
    Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Viel Dank für das Begrüßwerden :-) (bin etwas oldschool, was Emojis betrifft)


    Das Problem an der Sache ist, dass mein Gegenüber ein absoluter Microsoft-,Outlook-, Datev-Nutzer ohne jedwede weitere Computerkenntnisse ist (Wenn ich böse wäre, würde ich sagen, sie wäre ein DAU, bin ich aber nicht). Ich habe ihr bereits geschrieben, sie möge mir doch bitte das (öffentliche) Zertifikat per Anhang schicken. Sie sagte mir jedoch, das Zertifikat hängt bei ihr in Outlook und sie wisse nicht, wie sie das sonst anstellen könnte. Und da ich keinen Zugang zu einem Outlook habe, weiss ich eben auch nicht, wo ich ansetzen soll.


    Ich habe das eine Zertifikat von datev runtergeladen, mit dem das öffentliche Zertifikat meines Gegenübers unterschrieben wurde. Das sehe ich zumindest in TB.


    Die Idee alle Zertifikate von datev zu laden und zu importieren ist auch keine schlechte Idee. Ist halt eine Menge Arbeit. Das wollte ich mir eigentlich sparen.


    Momentan sehe ich sonst als einzigen Ausweg in dem Computerbetreuer (=Microsoft Admin/-Dienstleister, Datev-zertifizierte IT-ler) dieser Person. Der sollte ja zumindest wissen, wie die Zertifikate hergestellt wurden und auch die entsprechenden Zertifikate haben/besorgen können. Das mache ich am besten noch.


    Ich kann auch gerne das fragliche Zertifikat hier anhängen (ist schließlich "öffentlich"), damit du die Sache überprüfen kannst.

    Thunderbird 45.7.x, macOS Sierra 10.12.x und Windows 10 Pro, 1607, 64bit
    IMAP, yahoo-Mail

  • Ich habe nur gesehen, dass datev recht viele Zertifikate benutzt - deshalb mein Hinweis, alle zu installieren.
    Ansonsten ist der Weg über deren Computerbetreuer wohl der einfachste.


    Grundsätzlich, kann ich dir aus sehr langer Erfahrung mit dem Thunderbird und auch mit S/MIME sagen, gibt es beim Thunderbird dabei keine Probleme. Wenn die Zertifikatsdaten zum Absender passen, seins und das Herausgeberzertifikat zusammenpassen und beide auch innerhalb der Gültigkeit sind und die zugelassenen Algorithmen für die Signatur benutzen, konnte ich bisher problemlos alle Zertifikate importieren. Probleme traten eben nur auf, wenn eine der Voraussetzungen nicht zutraf.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Vielen Dank. Ich werde den geplanten Weg gehen und werde (wenn ich es nicht vergessen sollte) hier erneut berichten, woran es lag.


    Gruß
    enti

    Thunderbird 45.7.x, macOS Sierra 10.12.x und Windows 10 Pro, 1607, 64bit
    IMAP, yahoo-Mail

  • Mittlerweile habe ich den Systembetreuer angeschrieben. Als Antwort erhielt ich, dass Datev TB nicht unterstützt, ohne jedoch Gründe zu nennen. Meine Nachfrage nach dem Grund wurde bisher nicht beantwortet.


    Außerdem habe ich alle öffentlichen Zertifikate von der Datev-Seite heruntergeladen und in TB importiert, selbstverständlich jedem einzelnen meinen Vertrauen in Sachen E-Mail und Softwareentwickler ausgesprochen.


    Das Problem besteht jedoch weiterhin unverändert (bisher nur auf meinem Mac-Rechner getestet, noch nicht auf einem Windows-Rechner, was ich auch habe).
    Ich habe das Zertifikat beim Mac in meinen Schlüsselbund importiert und eine Testmail mit Apple Mail verfasst. Damit ging die Verschlüsselung ohne Probleme vonstatten. Apple Mail hat sich über das Zertifikat nicht aufgeregt, mein Gegenüber konnte den Inhalt ohne Probleme lesen.


    Ich kann gerne das öffentliche Zertifikat (=die pem-Datei) zur E-Mail-Verschlüsselung meines Gegenübers per Direct-Message (gibt es sowas hier im Forum?) senden, damit du auch einen Blick darauf werfen kannst


    MfG
    enti

    Thunderbird 45.7.x, macOS Sierra 10.12.x und Windows 10 Pro, 1607, 64bit
    IMAP, yahoo-Mail

  • Guten Tag enti!


    Also ich finde die Antwort von Datev einfach nur dumm.
    Der Thunderbird hält die Spezifikationen der üblichen Protokolle (IMAP, POP3 und SMTP sowie zur Verschlüsselung S/MIME) für Mailcliensts genau so korrekt ein, wie es Apple Mail macht. Oder anders herum, wenn ich mit dem TB eine Mail an einen Datev-Nutzer sende, dann bekommen die das gar nicht mit (wenn sie nicht gerade die Mail abfangen und in deren Quelltext lesen.)


    Du kannst mir aber gerne mal das Zertifikat (<user>.pem) per "Konversation" senden. Du kannst (sollte das System .pem nicht annehmen, diese Datei gern als .txt umbenennen. Denn letztendlich ist es ja eine reine ASCII-(Text-)Datei.



    Mit freundlichen Grüßen!
    Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    ich habe das Zertifkat per "Konversation" geschickt. Da ich nicht herausfinden konnte, wie ich eine Datei hochladen kann, habe ich das Zertifikat einfach per Copy-and-paste als Text eingefügt, sollte nach Abspeichern in eine Textdatei kein Problem sein.


    Ich hoffe, du kannst weiterhelfen.


    MfG
    enti

    Thunderbird 45.7.x, macOS Sierra 10.12.x und Windows 10 Pro, 1607, 64bit
    IMAP, yahoo-Mail

  • Zwischenmeldung: Das Problem ist noch nicht beseitigt. Ich bleibe am Problem dran

    Thunderbird 45.7.x, macOS Sierra 10.12.x und Windows 10 Pro, 1607, 64bit
    IMAP, yahoo-Mail