aktuelles S/MIME Zertifikat von D-Trust lt. Thunderbird nicht verifiziertbar, weil Signatur-Algorithmus deaktiviert wurde, weil unsicher...

    • Thunderbird-Version (konkrete Versionsnummer): 68.9.0 (32-Bit)
    • Betriebssystem + Version: Windows 10 Version 2004 Build 19041.329
    • Kontenart (POP / IMAP): IMAP
    • Postfachanbieter (z.B. GMX): eigener Mailserver (--> über Docker mailcow-dockerized --> postfix/ dovecot)
    • Eingesetzte Antivirensoftware: Windows interner Defender
    • Firewall (Betriebssystem-intern/Externe Software): intern von Windows/ extern OPNSense

    Hallo Forum, anbei meine Problemstellung...


    Mit Erhalt meiner neuen Signaturkarte von D-Trust Version 3.1 haben die Probleme begonnen, dass ich nicht mehr qualifiziert signieren (unterschreiben und verschlüsseln) kann.


    Als Middleware (CSP) setze ich Nexus Personal (V. 5.2.1) ein, diese ist auch in Form der personal.dll (ebenfalls 32-bit) in der Kryptographie-Modul-Verwaltung eingerichtet:

    In der Zertifikatsverwaltung sind meine Zertifikate enthalten Signatur & Verschlüsselungszertifikat



    Allen D-Trust-Zwischenzertifizierungsstellen wird vertraut.. exemplarisch hier der Screenshot des 1. Zertifikats:

    Auffällig ist dass eine Root CA aus unbekannten Gründen nicht verifiziert werden kann...


    Wähle ich dann in dem zugehörigen Konto unter S/MIME-Sicherheit die Zertifikate aus, muss ich mit PIN am Kartenlesegeräte das Einlesen bestätigen und beide stehen zur Verfügung.




    Sieht alles korrekt eingestellt aus.


    Erstelle dann eine Mail an mich selbst zu Testen


    Beim Versenden kommt dann statt der PIN-Abfrage ff. Fehlermeldung:

    Prüft man dann die Einstellungen für das Konto unter S/MIME-Sicherheit

    stellt man fest, die Seriennummer des Zertifikatsfehlt.


    Weiter ist auffällig, dass für das persönliche Zertifikat mit der qualifizierten elektronischen Signatur oder EIDAS-konforme Signatur:

    angezeigt wird, dass es nicht "konnte nicht verifiziert werden, weil es mit einem Signatur-Algo signiert wurde, der deaktiviert wurde, weil er nicht sicher ist.

    (Ok hat Mozilla TB hier ein Problem mit RSASSA-PSS oder in der NSS... habe viel gegoogelt, hat aber alles nicht geholfen...


    D-Trust hat das in mehreren Wochen Ping Pong mit dem Support geprüft und am Ende gesagt: Zertifikat und Karte sind OK ist ein Problem vom Thunderbird.


    Weitere Info ist noch, dass entgegen den üblichen Konzepten Certificate Chaining von D-Trust statt des üblichen Zwiebelschalenmodells wohl benutzt wird.


    Ich komme nun an dieser Stelle nicht weiter und hoffe man kann meine Frage nachvollziehen.


    Kann ich noch irgendetwas in den Untiefen von about:config einstellen, dass das wieder funktioniert oder geht das nicht..?


    Der Windows Zertifikatsmanager sagt ohne Probleme.. Zertifikat gültig über den gesamten Zertifizierungspfad...


    Hat jemand eine Idee???....


    Danke vorab für die Hilfe aus diesem Forum.


    Gruß

    Rootorius

  • graba

    Approved the thread.