Verschlüsseln und signieren nicht möglich trotz gültigen Zertifikaten

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version (konkrete Versionsnummer): 78.3.2
    • Betriebssystem + Version: Windows 10 1909
    • Kontenart (POP / IMAP): Imap
    • Postfachanbieter (z.B. GMX): mail.de
    • Eingesetzte Antivirensoftware: Avast
    • Firewall (Betriebssystem-intern/Externe Software): Betriebssystem-intern


    Hallo,


    ich wollte mal die Verschlüsselung ausprobieren und hab mir für 2 meiner Mailadressen (verschiedene Domains) Zertifikate geholt (von hier: https://www.dgn.de/dgncert/anfordern.html)

    In Thunderbird habe ich meine mail.de Adresse eingerichtet, normal versenden/empfangen funktioniert auch.

    Unter Konten-Einstellungen > meinname@mail.de > Ende-zu-Ende-Verschlüsselung > Button "S/MIME-Zertifikate verwalten" hab ich unter "Ihre Zertifikate" das mail.de-Zertifikat importiert,

    und unter Personen das Public Zertifikat der Empfänger Mailadresse


    Immer noch unter Konten-Einstellungen > meinname@mail.de > Ende-zu-Ende-Verschlüsselung hab ich die Zertifikate für digitale Unterschrift und für Verschlüsselung ausgewählt.


    Jetzt dachte ich, ich könnte an eine beliebige Person eine digital signierte Mail (Nachricht unterschreiben)versenden und an diese eine Person auch eine verschlüsselte, aber keines von beiden funktioniert.

    Dieser Versuch (nur unterschreiben an eine beliebige Person)

    führt zu dieser Meldung


    Dieser Versuch (nur verschlüsseln an diese eine Person, von der ich das public Zertifikat habe)

    führt zu diesem Fehler


    Ich dachte mir, vielleicht vertraut Thunderbird der Zertifizierungsstelle dgncert nicht und hab versucht, deren Wurzelzertifikate (https://www.dgn.de/dgncert/downloads.html) in der Zertifikatverwaltung unter Zertifizierungsstellen zu importieren. Aber bei beiden Importen kommt diese Meldung:


    Und jetzt weiß ich nicht mehr weiter.

    Kann mir jemand helfen.


    Danke

    Gruß

    AlbMin

  • Thunder

    Approved the thread.
  • Hallo AlbMin,


    Kompliment, du hast das Problem sehr gut beschrieben. Und weil ich darin keinen Fehler deinerseits erkennen konnte, habe ich es kurz selbst ausprobiert, mit einem selbsterstellten Zertifikat meiner eigenen CA. Ich bekomme mit der Windows-Version 78.3.x auch diese Fehlermeldung. Die Version 68.10 unter Linux zeigt den Fehler nicht. Es klappt ohne Murren.

    Meiner Meinung nach hast du alles richtig gemacht. Das ist vermutlich ein Bug in der 78. Vielleicht testest du es grad auch mal selbst mit einer portablen 68.


    Gruß


    Susanne

  • Hallo AlbMin,


    aus meiner eigenen Erfahrung mit dem Importieren von Rootzertifikaten, die noch nicht im Thunderbird drin sind (Wisekey, CaCert und dieses Jahr auch genau dein DGNCert) habe ich mir gemerkt, daß man auf 2 Sachen achten muß:

    1. spielt anscheinend die Reihenfolge des Imports doch eine Rolle und außerdem hält Thunderbird gerne noch was im Cache bzw zeigt an, was gar nicht mehr da ist, also kann man sich totärgern beim Ändern). Als Mittel dagegen habe ich nur gefunden: alle Zertifikate (eigene und die Roots) wieder raus, TB beenden und neu starten und dann beim Neuaufbau die Reihenfolge schön beachten. Ich weiß, das ist ein Puzzle. Ach so noch vergessen - meine eigene Root-CA, auch das gleiche Spiel - es ging erst, wenn ich die Reihenfolge genau einhalte.

    2. aus mir unerfindlichen Gründen fehlen manchmal die "Freischaltungen" der Roots trotzdem man es beim Import gemacht hat. Also: gehe noch einmal in die Vertrauenseigenschaften der neuen Roots und vergewissere Dich, daß beide Häkchen gesetzt sind. (sogar Kombinationen meiner beiden Punkte 1 und 2 hatte ich schon - da habe ich mein eigenes Zertifikat importiert und die Häkchen beim Vertrauen der Roots waren nicht da. Da wurde sogar die komplette Kette als korrekt angezeigt, es ging trotzdem nicht und ich habe neu angefangen.


    Der Weg, Testen zwischen erstmal zwei eigenen E-Mail Adressen ist aber sehr gut und erspart ggf. Aufregung :-)

  • Hallo Kerstin,


    schön, dass du dran bleibst und deine Erfahrungen teilst. Echt fein. Wollen wir den Herren mal ein Vorbild sein. ;-)


    Die neue Version hat eine angenehme Nebenwirkung: Auch wenn wir weiterhin eine Minderheit sind, es wird erkennbar, dass inzwischen doch mehr Leute auf Signatur/Verschlüsselung setzen, als ich dachte.

    Beruflich ist es erfreulicherweise bei mir so, dass mehr als die Hälfte aller E-Mails die ich bekomme, S/MIME signiert sind. (Um das zu relativieren, darunter sind natürlich alle firmeninternen E-Mails, denn die werden automatisch signiert. )


    Als Ergänzung zu deinen Erkenntnissen. Da ich privat auf GPG setze, habe vorhin für meinen Test beide S/MIME Zertifikate (CA und Benutzer) erstmalig in die 78 importiert. Erst die CA, dann den Benutzer. Ich habe auch darauf geachtet, S/MIME als bevorzugte Methode auszuwählen. Hat trotzdem mit der 78 nicht funktioniert.


    Was ich nicht gemacht habe, ist, Bugzilla nach einem bereits bekannten Bug zu durchsuchen.


    Gruß


    Susanne

  • Hallo,


    danke an euch beide. Schön zu hören, dass man eigentlich alles richtig gemacht habe. Jetzt funktioniert es.

    Was hab ich gemacht?

    Die beiden schon vorhandenen Root-Zertifikate rausgelöscht und die von der dfncert-Website runtergeladenen nochmal importiert. Ging immer noch nicht. Thunderbird neu gestartet -> funktioniert. Signieren und Verschlüsseln oder auch beides zusammen. :thumbsup:

    Blöderweise hab ich vor dem Rauslöschen nicht überprüft, welche Haken für die beiden Zertifikate gesetzt waren. Naja.


    Danke für eure Hilfe

    Gruß

    AlbMin

  • Blöderweise hab ich vor dem Rauslöschen nicht überprüft, welche Haken für die beiden Zertifikate gesetzt waren. Naja.

    Beide Haken waren bei mir nicht gesetzt.


    Ich scheitere aber gerade selbst nach Deinem Tipp mit dem Löschen und (erneuten) Importieren.

  • Schon komisch. Wer jetzt das System dahinter findet, bekommt die Waschmaschine. :-)


    Mich erinnert das an die eigenen PGP-Zertifikate, die ich auch nochmals aufrufen musste, damit der Thunderbird ihnen vertraut.