S/MIME Zertifikatwahl bei mehreren Mailkonten funktioniert nicht wie gewünscht

  • Thunderbird-Version: 52.6.0


    • Betriebssystem + Version: Mac OS 10.9.5
    • Kontenart (POP / IMAP): IMAP
    • Postfachanbieter (z.B. GMX): Iossol, Strato und Posteo
    • Eingesetzte Antivirensoftware:
    • Firewall (Betriebssystem-intern/Externe Software):

    Beim Versenden wird trotz richtiger Auswahl des smtp-Servers und des jeweils richtigen Zertifikats bei den Konteneinstellungen wird ausschließlich das Zertifikat des obersten Kontos verwendet. Dieser Fehler ist auch wiederholbar, wenn ich die Konten lösche und neu einrichte. Es wird immer das Zertikat des an erster Stelle gelisteten Kontos verwendet. Steht ein anderes oben, wird jenes verwendet. Auch ein jeweiliger Wechsel des Standard smtp-Server bringt nichts.

    Wer hat eine Idee, wie dieses Problem zu lösen ist? Für einen entsprechenden Tipp wäre ich doch sehr dankbar!

  • Ich kann das nicht reproduzieren. Hab' mir gerade 2 neue S/MIME Zertifikate erstellt, geht ja schnell, wenn man eine Vorlage hat. Funktioniert wie zu erwarten einwandfrei.

    Ich denke auch nicht, dass der SMTP-Server für die Auswahl des Zertifikates eine Rolle spielt. Das könnte ja auch ein Relay sein. Also dürfte der dabei komplett außen vor sein.

    Da stimmt bestimmt etwas anderes nicht. Bist du sicher, dass du unter S/MIME-Sicherheit sowohl für das Verschlüsseln als auch für das Unterschreiben das richtige, für die jeweilige E-Mailadresse gültige Zert ausgewählt hast? Am besten schaust du dir die Zertifkate nochmals einzeln im Detail an, für welche Adresse sie ausgestellt sind usw. . .

    Hast du die Zerts selbst erstellt oder von einer CA bezogen? Sind sie korrekt importiert, auch das/die der CA? Hast du Erweiterungen installiert, die dazwischenfunken könnten? Falls ja, teste mal im Save-Mode.

    Wenn du Mails ohne S/MIME versendest, funktioniert dann alles korrekt?

  • Danke für so einige Hinweise, es ist jetzt alles ok und ich habe den Fehler herausgefunden.

    Es ist nun so dass mein Provider für meine private mail posteo ist. posteo akzeptiert aber nur Class 1 Zertifikate. Ich hatte mir aber ein Class2 Zertifikat besorgt. Das Problem habe ich jetzt damit gelöst, dass ich ein freies Class 1 Zertifikat bei Wisekey erstellt und installiert habe. Nun funktioniert wieder alles. Ich bedanke mich noch einmal für die Unterstützung. Vielleicht hilft diese Erfahrung auch anderen Benutzern. Das wäre schön.

  • Hallo, ich habe ein Problem mit Wisekey.... Meine Forensuche ergab neben meinem eigenen Beitrag, den leider noch niemand gelesen hat, auch Deinen Beitrag.


    Möglicherweise kannst Du mir einen Tip geben, was ich denn falsch mache mit meinem Wisekey-Zertifikat. Ich habe es installiert, aber TB behauptet, es wäre nicht da oder nicht gültig.


    Ich habe eigentlich das Gleiche gemacht wie bei meinem CACERT-Zertifikat, nur daß ich da noch ein Root/Class3 installieren muß bzw meine Mailpartner auch, was ärgerlich ist.


    Bei Wiskey zeigt mir der Thunderbird 3 Roots an, nur leider nicht das, welches mein kostenloses Zertifikat ausgestellt hat. Auf der Website und beim Support von Wisekey verstehen sie irgendwie mein Problem nicht - bei Ihnen gehts. was ja sein kann, aber ich finde kein


    WISeKey CertifyID Personal GB CA 2


    auch nicht auf deren Website, vielleicht ist es ja bei denen und bei Dir eingebaut, aber woher bekomme ich es...

  • Hallo,

    ich habe mich auch grade aus aktuellem Anlass mit den Zertifikaten von Wisekey beschäftigt und habe es zum laufen bekommen.


    Ich habe das kostenlose Class 1 Zertifikat von Wisekey benutzt, im Thunderbird ist auch das Root CA vorhanden, aber die Zwischenzertifikate haben gefehlt.


    Die Zwischenzertifikate habe ich hier https://www.wisekey.com/cacertificates/#cidrca gefunden.


    folgende zwischen zertifikate sind notwendig:

    WISeKey CertifyID Standard Services CA 2

    WISeKey CertifyID Standard G1 CA

    OISTE WISeKey Global Root GA CA (sollte schon vorhanden sein)


    Welche Zwischenzertifikate zu nehmen sind, hängt davon ab welcher CN in deinem persönlichen Zertifikat angegeben ist, ist in den Eigenschaften des Zertifikats zu finden. Und so die Kette weiterverolgen und im Zwischenzertifikat nachsehen, welcher CN dort eingetragen ist.



    so sieht es jetzt bei mir in der Zertifikatverwaltung aus


    Ich hoffe klappt bei euch auch so.

    Lucy

  • Hallo lucydelight,


    Dein Tip war bis jetzt am dichtesten dran :-) Aber klappt leider immer noch nicht.

    Habe die beiden Zwischen-Zertifikate genauso installiert wie bei Dir (siehe Screenshot)

    Das dritte war schon fast "Verzweiflung", habe es dann wieder raus genommen, ging auch nicht.

    Habe seit Sommer gefühlte 10 davon probiert - auch weil Wisekey-Support anscheinend

    gar nicht darauf eingeht, daß ein "Wisekey CertifyID Personal GB CA 2" nicht vorhanden ist...



    Aber beim Senden kommt die gleiche Fehlermeldung.

    Daraufhin habe ich mir mein Zertifkat noch einmal anzeigen lassen, nunja... das "Personal". Leider ist das aber auf der website


    https://www.wisekey.com/cacertificates/#cidrca


    auch nicht aufgeführt



    Wann hast Du Dir das Zertifikat bei Wisekey ausstellen lassen? Langsam beschleicht mich der Verdacht, ich habe mich irgendwie angeschmiert... Ich habe eins vom 29.07.2019 und dann das hier (weil der Support von Wisekey mir sagte, paar Wochen warten).

    Aber die sind beide von "Wisekey CertifyID Personal GB CA 2" und nirgendwo gibts das?


    Jetzt fällt mir bloß noch ein, mich mal mit einem anderen Konto zu registrieren und zu schauen, ob ich wieder "Wisekey CertifyID Personal GB CA 2" bekomme?


    Schau mal. da war ich:



    Hab nur mal die Email geschwärzt wegen Forum. Wenn Du sie brauchst, kann ich aber geben. Hoffe man kann es lesen.


    Grüße, Bernd

  • Hallo Bernd,


    ich habe mir grade eben für eine weitere email Adresse ein Zertifikat geholt von Wisekey, und es wurde mir auch mit dem

    CommonName=WISeKey CertifyID Personal GB CA 2 ausgestellt. Beim installieren des Zertifikats (*.p12) wurde mir von Thunderbird die Frage gestellt, ob ich das Zwischenzertifikat auch installieren möchte, da habe ich ja gesagt. Und schwupps war auch das Wisekey CertifyID Personal GB CA 2 in der Zertifizierungsstelle vorhanden. Und signiert Senden geht auch damit :-)


    Meine andern Zertifikate habe ich alle diesen Sommer (24. Juni) ausstellen lassen, die waren alle noch mit CN Standard.

    Lösche nochmals dein privates Zertifikat aus der Verwaltung raus, und importiere es neu.

    Ich kann ev. auch mein Wisekey CertifyID Personal GB CA 2 exportieren und es dir schicken, per mail. Hier als Anhang wird es nicht zugelassen.


    lg Lucy



  • ...noch ein Nachsatz, weil ich es gerade gesehen habe. Auch in der Zertifikatshierachrchie kann das Zwischen-Zertifikat exportiert werden. War bei mir aber nicht notwendig, hat TB selbständig gemacht beim Import :-)


    lg Lucy


  • Hallo an alle,


    sehe ich das richtig, dass WiseID den privaten Schlüssel auf ihren Servern speichert?


    danke für eure antworten

  • Hallo,

    Wisekey lässt den Private Key natürlich während der Laufzeit der Zertifikat Anforderung errechnen und bietet ihn dann zum Download an. Man kann sich aber auch später noch jederzeit den Pirvate Key downloaden als *.p12 File. Der Key ist daher auf dem Server gespeichert. Dieses Vorgehen ist nicht Standard und widerspricht eigentlich der Grundregel den Private Key nicht aus der Hand zu geben. Das machen auch nicht alle CA so in dieser Weise. Eigentlich sollte der Private Key sofort gelöscht werden, und die Verantwortung für die Aufbewahrung beim Zertifikat Inhaber liegen. Du musst also bei Wisekey darauf vertrauen, dass sie den Key nicht benutzen um deine eMails zu entschlüsseln oder zu kompromitieren ;-)


    lg Lucy

  • Hallo Lucy,


    ES GEHT!!!


    Danke für Deine Hilfe. Der entscheidende Tip war: "noch mal ein Zertifikat machen". Ich habe keine Ahnung

    was und warum, aber anscheinend hatte mein Thunderbird irgendein Problem mit den ersten 3

    (Juli, September, Oktober).

    Wenn Du schreibst, es gab eine Veränderung zu Juni/Juli mit dem Aussteller - dann bin ich anscheinend in

    irgendeine Lücke gerutscht.

    Hatte heute wieder fast 1 Stunde probiert - alle 4 Deiner Einträge verglichen im Zertifkatsspeicher

    und trotzdem lehnte TB das wieder ab. grrr.

    Da habe ich alles radikal gelöscht - was anscheinend auch nicht einfach ist, weil Firefox/Thunderbird

    cachen da auch jede Menge und was weg ist, muß nicht weg bleiben usw.

    Aber dann - mein 4.Wisekey-Zertikat installiert, Personal GB2 zieht er sich selbst und: ging sofort,

    signieren und verschlüsseln (ich habe noch ein Emailkonto/einen Anbieter, siehe unten).

    Lustigerweise ist jetzt bei mir "nur" Personal GB2 drin und es geht trotzdem, aber ich habe mir

    vorsichtshalber alle 4 als Exporte weggelegt und werde sie auch alle 4 anbieten wo ich meine public keys

    auch für PGP angebe.

    Anscheinend klappte sogar der Mechanismus, daß jemand, der zum ersten Mal eine signierte Mail von mir

    kriegt, dann beim Lesen auch gleich das Personal GB2 automatisch zieht - jedenfalls auf dem gleichen PC,

    anderes TB-Profil. Anderen Rechner muß ich demnächst mal probieren.

    Anscheinend war mit meinem ersten Zertifikat vom Juli was faul und dann hat TB gleich die ganze Wisekey

    auf den Index gesetzt. Klingt nicht sehr wissenschaftlich, ich weiß - aber mit dem vierten, von "blank" beginnend

    ging es ja.


    So und weil ihr so lieb wart, hier noch einen Tip :-)

    https://www.actalis.it/product…cure-electronic-mail.aspx


    Habe das probiert und läuft (wisekey <-> actalis verschlüsseln und senden). Keine Angst vor Italienisch.

    Sind zwar auch nur für 1 Jahr und Klasse 1 - immerhin war Actalis aber von Anfang an gelistet bei meinem Mozilla.

    Klasse 3 würde es bei CACERT geben, habe ich auch gemacht letztes Jahr - die Frage ist nur, wie lange gibt

    es sie noch, habe da so komische Meldungen bekommen zuletzt.


    viele Grüße, Bernd

  • Hallo Bernd,

    Sehr fein das es geklappt hat. Dankeschön für den Tipp, actalis kannte ich noch nicht. Und du hast bei cacert ein class 3 Zertifikat gratis bekommen, hab ich das richtig verstanden? Ich bin eh auf der Suche nach einer CA, die mich auch die Schlüssellänge wählen lassen. Das geht ja bei wisekey leider nicht.


    Lg Lucy

  • Hallo,

    Wisekey lässt den Private Key natürlich während der Laufzeit der Zertifikat Anforderung errechnen und bietet ihn dann zum Download an. Man kann sich aber auch später noch jederzeit den Pirvate Key downloaden als *.p12 File. Der Key ist daher auf dem Server gespeichert. Dieses Vorgehen ist nicht Standard und widerspricht eigentlich der Grundregel den Private Key nicht aus der Hand zu geben. Das machen auch nicht alle CA so in dieser Weise. Eigentlich sollte der Private Key sofort gelöscht werden, und die Verantwortung für die Aufbewahrung beim Zertifikat Inhaber liegen. Du musst also bei Wisekey darauf vertrauen, dass sie den Key nicht benutzen um deine eMails zu entschlüsseln oder zu kompromitieren ;-)


    lg Lucy

    Danke Lucy für die ausführliche Antwort.

    Ich finde den Umgang mit den private keys etwas fraglich. Das scheint aber mit der Zeit leider die Regel zu werden.

  • Ich finde den Umgang mit den private keys etwas fraglich

    Das kann man wohl sagen! Werft doch mal einen Blick auf xca. Damit könnt ihr relativ einfach eure eigene Zert-kette erstellen.

  • Hallo Lucy,


    also ich nutze

    http://www.cacert.org/

    seit 1,5 Jahren und habe mir schon mehrere Zertifikate generiert.

    Ehrlich gesagt hatte ich mir bisher um Schlüssel-Länge keine Gedanken gemacht,

    ich habe aber eben nachgeschaut: SHA-256, es ist wahlweise auch 384 und 512 möglich

    (ohne Gewähr, daß Mozilla das versteht).


    Klasse 3 Zertifikat heißt, man ist persönlich bekannt.

    In meinem Fall waren das 2 Mitglieder in meiner Stadt, mit denen ich mich

    in einem Cafe bzw im anderen Fall zuhause getroffen hatte

    und zwei Ausweisdokumente vorgezeigt.

    Ohne dies sind die Zertifikate statt 2 Jahre nur 6 Monate gültig.


    Die CACERT sitzt in Australien und ist (leider immer noch) nicht standardmäßig

    in den Systemen drin - d.h. man müßte potentielle Mailparter irgendwie auf die

    http://www.cacert.org/

    verweisen und/oder die Roots so bereitstellen

    (ich habe das auf meiner Homepage zusammen mit PGP).


    Ansonsten müßte man sich durch die ziemlich umfangreiche Dokumentation

    durchkämpfen, die ist teils auf Deutsch, das meiste naturgemäß Englisch.

    Ich selbst habe das per Trial-and-Error auf die harte Tour erlernt,

    weil es auch meine erste Begegnung überhaupt mit S/MIME war.

    Ich kann Dir bzw anderen Interessenten jetzt aber Tips geben, falls gewünscht.


    Man kann da auch per Schulung usw. noch weitere Punkte sammeln,

    wer Interesse hat.

    Für mich reichte die Zertifikatsgültigkeitsdauer als Ziel.

    Als ehrenamtliche Organisation kämpfen die natürlich auch immer um Geld

    und suchen Freiwillige, also man kann sich produzieren.

    Leider gab es auch schon mal Hiobsbotschaften bzg. Existenz und so -

    aber das sollte niemand ernsthaft davon abhalten, dieses meiner Meinung

    nach einmalige Angebot mal zu testen. (wisekey und actalis sind ja Klasse 1).


    Und @ alle... tja es muß anscheinend irgendwelche Gründe geben,

    warum sie die Zertifikate vorhalten zum erneuten Download.

    Ich habe Begründungen dafür und dagegen, keine Ahnung.

    Aber anscheinend ist die Integrität/Wiederherstellbarkeit ausnahmsweise

    mal das größere Argument. Ich glaube auch nicht an Hintergedanken

    zwecks Entschlüsselung und so, dafür sind es private Zertifikate

    und viel zu unwichtig, wahrscheinlich tausende und wer hat zuhause

    schon den Überblick über 1000 Einzelpuzzleteile.

    Ich sehe die Speicherung als eine Art Online-Tresor, der abgesichert ist

    mit meinem Paßwort.

    Wer das überwindet, kann das Zertifikat kopieren,

    steht aber noch vor der Hürde, Zugriff auf meinen Thunderbird

    zu bekommen. Weiterhin könnte man nach Einloggen auch das Zertifikat

    widerrufen oder ein neues generieren -

    aber wie gesagt, es ist alles ein großes WENN.


    Da ich anfangs auch in einem Kurs auf Leute traf,

    bei denen ich verschlüsselte Mails einfach mal testen konnte,

    biete ich das gern auch an.

    E-Mail gibts in Konversation (oben im Forum).

  • Klasse 3 Zertifikat heißt, man ist persönlich bekannt.

    Für mich ist es ein Widerspruch, einerseits Class 3 Zertifikate zu vergeben, andererseits die geheimen Schlüssel der Benutzer zu speichern. Eigentlich ist das ein No-Go. So gibt es mindestens zwei Parteien, die sich als Eigentümer des Zertifikats ausgeben können, der wahre Besitzer und der Aussteller. Sowie alle Personen, die beim Aussteller Zugriff haben.

    Dadurch ist ein solches Zertifikat nicht vertrauenswürdiger als ein selbst erstelltes.

  • So gibt es mindestens zwei Parteien, die sich als Eigentümer des Zertifikats ausgeben können,

    Nein das muß nicht notwendigerweise so sein. Der Fakt, daß ich nach Eingabe meines Paßwortes ins Portal dort auf Informationen zugreifen kann, bedeutet nicht, daß sie im Klartext gespeichert sind.

    Nicht daß ich das Verfahren a) verteidigen will oder b) im Detail kenne - aber ich traue solchen Anbietern schon zu, das zu beurteilen und ggf. verschlüsselt zu speichern.

    Aber meine Gedanken dazu habe ich ja schon geäußert.


    Außerdem vermischt Du zwei Sachen: Klasse 3 heißt nur: ich bin als Person bekannt, nicht nur meine Emailadresse bestätigt wurde durch einen Link. Wenn Du mit xca irgendwas zusammenmischt, dann wäre das genau genommen gar nichts (sorry ich kenne das Tool nur zum Anzeigen/Konvertieren).


    Und es ging um zwei verschiedene Anbieter: CACERT/Klasse 3 und Wisekey/Klasse 1. Wenn mir die letzteren zB. die private Key Datei physisch zur Verfüngung stellen können (weil sie sie gespeichert haben, eine Abteilung) und mir ein Zugriffspaßwort dazu geben (zweite Abteilung). dann muß das nicht bedeuten, daß außer mir jemand anderes die beiden Teile zusammenbringen könnte. Soviel traue ich

    (denen) schon (zu)...

  • Da habe ich mich vielleicht etwas ungenau ausgedrückt. Was ich zum Ausdruck bringen wollte ist folgendes. Die Validierung von Zertifikaten beruht auf Vertrauen und zwar dem Aussteller der Zertifizierungsstelle und auch den Validierenden gegenüber.

    Es genügt nicht, wenn der Inhaber eines Zertifikats denen vertraut. Der Empfänger der Mails muss denen ebenfalls vertrauen. Tut er das nicht, ist selbst ein Class 4 Zertifikat unterm Strich nicht vertrauenswürdiger als ein selbst erstelltes der Class 1.


    Im konkreten Fall hätten wir einen Aussteller/Zertifizierer, der nicht aus der EU stammt und dessen Root Zertifikate auch nicht mit dem Thunderbird ausgeliefert werden. Er speichert die geheimen Schlüssel der Inhaber auf seinen Servern und kann zumindest theoretisch verschlüsselte Mails lesen oder Mails im Namen des Inhabers versenden und signieren. Damit will ich nicht unterstellen, dass er das macht. Er könnte aber.

    Dann hätten wir unbekannte Personen, die in dessen Auftrag den Ausweis des Inhabers überprüfen und das Zertifikat damit zu einem Class 3 Zertifikat machen.

    Für den rechtssicheren Schriftverkehr genügt das sowieso schon mal nicht. Für den privaten reichen aber auch Zertifikate aus, die man selbst erstellt hat oder jemand aus der Familie. Deshalb hatte ich xca erwähnt. Damit kann man für das private Umfeld selbst zur CA werden und Zertifikate erstellen.