Verständnisproblem: Alte verschlüsselte Mails mit neuem Zertifikat entschlüsseln?

  • Hallo zusammen.


    auf Thunderbird-Version etc. verzichte ich hier mal, da ich gar kein Problem im klassischen Sinn habe sondern eher ein Verständnisproblem.

    Ich habe viele verschlüsselte Mails und vor kurzem ein neues Zertifikat benötigt, da das Alte abgelaufen war. Ich war direkt irritiert, dass für die alten Mails mein altes Zertifikat weiterhin nötig ist, um diese zu lesen, habe mich damit aber erstmal abgefunden.


    Die Frage wurmt mich aber weiterhin aus technischer Sicht:

    Warum ist das so? Ich habe den selben CSR und den selben private Key wie für das alte Zertifikat genutzt. Der CSR wurde von der selben CA "gesignt" (mit openssl). Ich hätte erwartet, dass ich mit diesem neuen Zertifikat die alten Mails ebenfalls entschlüsseln kann, da Private Key und CA gleich sind. Warum ist dem nicht so?


    Hat da jemand ggf. einen aufschlussreichen Link?


    Gruß

    Luca

  • Ich kann da nur raten, weil ich nicht weiß, woran Thunderbird bzw. die RFC das festmachen. Ein neues Zertifikat hat auch bei gleichem Key eine neue ID. Vielleicht hängt es daran.

    Wenn du den Key eh übernommen hast, aus welchen Grund hast du das Zertifikat dann nicht einfach verlängert?

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Wenn du den Key eh übernommen hast, aus welchen Grund hast du das Zertifikat dann nicht einfach verlängert?

    Mein Stand ist, dass das nicht möglich ist.


    Hatte vor einer Weile schon viel dazu recherchiert. Alles was man dazu liest lautet: Geht nicht.
    Mit "Geht nicht" meine ist, es besteht keine Möglichkeit, ein bestehendes SSL-Zertifikat zu verlängern. Mit "Verlängerung" ist bei diesem Thema immer das erneute Ausstellen (Signieren des CSR, der vom ursprünglichen privkey erzeugt wurde) gemeint. Genau das habe ich allerdings getan.


    Mich wundert das Verhalten in Thunderbird (alte verschlüsselte Mails mit neuem Cert nicht lesen können) weiterhin, da ja der selbe PrivKey und die selbe CA beim alten wie auch beim neuen Zertifikat zugrunde liegen. Ich werde das Ganze mal mit Outlook testen, um einen Fehler in Thunderbird ausschließen zu können.

  • Mein Stand ist, dass das nicht möglich ist.

    Das kann ich jetzt aus dem Kopf nicht mit Sicherheit sagen. Ich benuzte S/MIME privat eigentlich nur noch zu Testzwecken. Meine Zertifikate habe ich alle mit XCA selbst erstellt, war also meine eigene CA. Ich hatte dich so interpretiert, als wärst du auch deine eigene CA. Ich meine, dort gibt es auch die Option, Zertifikate zu verlängern.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)