S/MIME Zertifikatwahl bei mehreren Mailkonten funktioniert nicht wie gewünscht

Ich kann das nicht reproduzieren. Hab' mir gerade 2 neue S/MIME Zertifikate erstellt, geht ja schnell, wenn man eine Vorlage hat. Funktioniert wie zu erwarten einwandfrei.

Ich denke auch nicht, dass der SMTP-Server für die Auswahl des Zertifikates eine Rolle spielt. Das könnte ja auch ein Relay sein. Also dürfte der dabei komplett außen vor sein.

Da stimmt bestimmt etwas anderes nicht. Bist du sicher, dass du unter S/MIME-Sicherheit sowohl für das Verschlüsseln als auch für das Unterschreiben das richtige, für die jeweilige E-Mailadresse gültige Zert ausgewählt hast? Am besten schaust du dir die Zertifkate nochmals einzeln im Detail an, für welche Adresse sie ausgestellt sind usw. . .

Hast du die Zerts selbst erstellt oder von einer CA bezogen? Sind sie korrekt importiert, auch das/die der CA? Hast du Erweiterungen installiert, die dazwischenfunken könnten? Falls ja, teste mal im Save-Mode.

Wenn du Mails ohne S/MIME versendest, funktioniert dann alles korrekt?

Hallo, ich habe ein Problem mit Wisekey.... Meine Forensuche ergab neben meinem eigenen Beitrag, den leider noch niemand gelesen hat, auch Deinen Beitrag.

Möglicherweise kannst Du mir einen Tip geben, was ich denn falsch mache mit meinem Wisekey-Zertifikat. Ich habe es installiert, aber TB behauptet, es wäre nicht da oder nicht gültig.

Ich habe eigentlich das Gleiche gemacht wie bei meinem CACERT-Zertifikat, nur daß ich da noch ein Root/Class3 installieren muß bzw meine Mailpartner auch, was ärgerlich ist.

Bei Wiskey zeigt mir der Thunderbird 3 Roots an, nur leider nicht das, welches mein kostenloses Zertifikat ausgestellt hat. Auf der Website und beim Support von Wisekey verstehen sie irgendwie mein Problem nicht - bei Ihnen gehts. was ja sein kann, aber ich finde kein

WISeKey CertifyID Personal GB CA 2

auch nicht auf deren Website, vielleicht ist es ja bei denen und bei Dir eingebaut, aber woher bekomme ich es...

Hallo lucydelight,

Dein Tip war bis jetzt am dichtesten dran Aber klappt leider immer noch nicht.

Habe die beiden Zwischen-Zertifikate genauso installiert wie bei Dir (siehe Screenshot)

Das dritte war schon fast "Verzweiflung", habe es dann wieder raus genommen, ging auch nicht.

Habe seit Sommer gefühlte 10 davon probiert - auch weil Wisekey-Support anscheinend

gar nicht darauf eingeht, daß ein "Wisekey CertifyID Personal GB CA 2" nicht vorhanden ist...

Aber beim Senden kommt die gleiche Fehlermeldung.

Daraufhin habe ich mir mein Zertifkat noch einmal anzeigen lassen, nunja... das "Personal". Leider ist das aber auf der website

https://www.wisekey.com/cacertificates/#cidrca

auch nicht aufgeführt

Wann hast Du Dir das Zertifikat bei Wisekey ausstellen lassen? Langsam beschleicht mich der Verdacht, ich habe mich irgendwie angeschmiert... Ich habe eins vom 29.07.2019 und dann das hier (weil der Support von Wisekey mir sagte, paar Wochen warten).

Aber die sind beide von "Wisekey CertifyID Personal GB CA 2" und nirgendwo gibts das?

Jetzt fällt mir bloß noch ein, mich mal mit einem anderen Konto zu registrieren und zu schauen, ob ich wieder "Wisekey CertifyID Personal GB CA 2" bekomme?

Schau mal. da war ich:

Hab nur mal die Email geschwärzt wegen Forum. Wenn Du sie brauchst, kann ich aber geben. Hoffe man kann es lesen.

Grüße, Bernd

Hallo Lucy,

ES GEHT!!!

Danke für Deine Hilfe. Der entscheidende Tip war: "noch mal ein Zertifikat machen". Ich habe keine Ahnung

was und warum, aber anscheinend hatte mein Thunderbird irgendein Problem mit den ersten 3

(Juli, September, Oktober).

Wenn Du schreibst, es gab eine Veränderung zu Juni/Juli mit dem Aussteller - dann bin ich anscheinend in

irgendeine Lücke gerutscht.

Hatte heute wieder fast 1 Stunde probiert - alle 4 Deiner Einträge verglichen im Zertifkatsspeicher

und trotzdem lehnte TB das wieder ab. grrr.

Da habe ich alles radikal gelöscht - was anscheinend auch nicht einfach ist, weil Firefox/Thunderbird

cachen da auch jede Menge und was weg ist, muß nicht weg bleiben usw.

Aber dann - mein 4.Wisekey-Zertikat installiert, Personal GB2 zieht er sich selbst und: ging sofort,

signieren und verschlüsseln (ich habe noch ein Emailkonto/einen Anbieter, siehe unten).

Lustigerweise ist jetzt bei mir "nur" Personal GB2 drin und es geht trotzdem, aber ich habe mir

vorsichtshalber alle 4 als Exporte weggelegt und werde sie auch alle 4 anbieten wo ich meine public keys

auch für PGP angebe.

Anscheinend klappte sogar der Mechanismus, daß jemand, der zum ersten Mal eine signierte Mail von mir

kriegt, dann beim Lesen auch gleich das Personal GB2 automatisch zieht - jedenfalls auf dem gleichen PC,

anderes TB-Profil. Anderen Rechner muß ich demnächst mal probieren.

Anscheinend war mit meinem ersten Zertifikat vom Juli was faul und dann hat TB gleich die ganze Wisekey

auf den Index gesetzt. Klingt nicht sehr wissenschaftlich, ich weiß - aber mit dem vierten, von "blank" beginnend

ging es ja.

So und weil ihr so lieb wart, hier noch einen Tip

https://www.actalis.it/product…cure-electronic-mail.aspx

Habe das probiert und läuft (wisekey <-> actalis verschlüsseln und senden). Keine Angst vor Italienisch.

Sind zwar auch nur für 1 Jahr und Klasse 1 - immerhin war Actalis aber von Anfang an gelistet bei meinem Mozilla.

Klasse 3 würde es bei CACERT geben, habe ich auch gemacht letztes Jahr - die Frage ist nur, wie lange gibt

es sie noch, habe da so komische Meldungen bekommen zuletzt.

viele Grüße, Bernd

Hallo Lucy,

also ich nutze

http://www.cacert.org/

seit 1,5 Jahren und habe mir schon mehrere Zertifikate generiert.

Ehrlich gesagt hatte ich mir bisher um Schlüssel-Länge keine Gedanken gemacht,

ich habe aber eben nachgeschaut: SHA-256, es ist wahlweise auch 384 und 512 möglich

(ohne Gewähr, daß Mozilla das versteht).

Klasse 3 Zertifikat heißt, man ist persönlich bekannt.

In meinem Fall waren das 2 Mitglieder in meiner Stadt, mit denen ich mich

in einem Cafe bzw im anderen Fall zuhause getroffen hatte

und zwei Ausweisdokumente vorgezeigt.

Ohne dies sind die Zertifikate statt 2 Jahre nur 6 Monate gültig.

Die CACERT sitzt in Australien und ist (leider immer noch) nicht standardmäßig

in den Systemen drin - d.h. man müßte potentielle Mailparter irgendwie auf die

http://www.cacert.org/

verweisen und/oder die Roots so bereitstellen

(ich habe das auf meiner Homepage zusammen mit PGP).

Ansonsten müßte man sich durch die ziemlich umfangreiche Dokumentation

durchkämpfen, die ist teils auf Deutsch, das meiste naturgemäß Englisch.

Ich selbst habe das per Trial-and-Error auf die harte Tour erlernt,

weil es auch meine erste Begegnung überhaupt mit S/MIME war.

Ich kann Dir bzw anderen Interessenten jetzt aber Tips geben, falls gewünscht.

Man kann da auch per Schulung usw. noch weitere Punkte sammeln,

wer Interesse hat.

Für mich reichte die Zertifikatsgültigkeitsdauer als Ziel.

Als ehrenamtliche Organisation kämpfen die natürlich auch immer um Geld

und suchen Freiwillige, also man kann sich produzieren.

Leider gab es auch schon mal Hiobsbotschaften bzg. Existenz und so -

aber das sollte niemand ernsthaft davon abhalten, dieses meiner Meinung

nach einmalige Angebot mal zu testen. (wisekey und actalis sind ja Klasse 1).

Und @ alle... tja es muß anscheinend irgendwelche Gründe geben,

warum sie die Zertifikate vorhalten zum erneuten Download.

Ich habe Begründungen dafür und dagegen, keine Ahnung.

Aber anscheinend ist die Integrität/Wiederherstellbarkeit ausnahmsweise

mal das größere Argument. Ich glaube auch nicht an Hintergedanken

zwecks Entschlüsselung und so, dafür sind es private Zertifikate

und viel zu unwichtig, wahrscheinlich tausende und wer hat zuhause

schon den Überblick über 1000 Einzelpuzzleteile.

Ich sehe die Speicherung als eine Art Online-Tresor, der abgesichert ist

mit meinem Paßwort.

Wer das überwindet, kann das Zertifikat kopieren,

steht aber noch vor der Hürde, Zugriff auf meinen Thunderbird

zu bekommen. Weiterhin könnte man nach Einloggen auch das Zertifikat

widerrufen oder ein neues generieren -

aber wie gesagt, es ist alles ein großes WENN.

Da ich anfangs auch in einem Kurs auf Leute traf,

bei denen ich verschlüsselte Mails einfach mal testen konnte,

biete ich das gern auch an.

E-Mail gibts in Konversation (oben im Forum).

Quote from NumLock

So gibt es mindestens zwei Parteien, die sich als Eigentümer des Zertifikats ausgeben können,

Nein das muß nicht notwendigerweise so sein. Der Fakt, daß ich nach Eingabe meines Paßwortes ins Portal dort auf Informationen zugreifen kann, bedeutet nicht, daß sie im Klartext gespeichert sind.

Nicht daß ich das Verfahren a) verteidigen will oder b) im Detail kenne - aber ich traue solchen Anbietern schon zu, das zu beurteilen und ggf. verschlüsselt zu speichern.

Aber meine Gedanken dazu habe ich ja schon geäußert.

Außerdem vermischt Du zwei Sachen: Klasse 3 heißt nur: ich bin als Person bekannt, nicht nur meine Emailadresse bestätigt wurde durch einen Link. Wenn Du mit xca irgendwas zusammenmischt, dann wäre das genau genommen gar nichts (sorry ich kenne das Tool nur zum Anzeigen/Konvertieren).

Und es ging um zwei verschiedene Anbieter: CACERT/Klasse 3 und Wisekey/Klasse 1. Wenn mir die letzteren zB. die private Key Datei physisch zur Verfüngung stellen können (weil sie sie gespeichert haben, eine Abteilung) und mir ein Zugriffspaßwort dazu geben (zweite Abteilung). dann muß das nicht bedeuten, daß außer mir jemand anderes die beiden Teile zusammenbringen könnte. Soviel traue ich

(denen) schon (zu)...