Posts by SSL-Mailer

    Hallo Forest-Fairy,


    ich glaube nicht, daß die Fehlermeldung bei mir eine andere wäre. Du hast versucht, eine Mail zu schicken, ich habe mir nur die Zertifikate angeschaut. Und wenn mein Tb. 68 die Zertifikate als nicht verifizierbar bezeichnet, wird es dein Tb. 78 erst recht tun.


    Auch Google kann nicht weiterhelfen, wenn Tb. diese alten Dinger explizit nicht mehr unterstützt. Weitere Versuche könnten höchstens mit veralteten Thunderbird-Versionen erfolgreich sein.


    Sie bieten dann noch PGP an, aber auch mit einem sehr alten Schlüssel...


    Gruß

    SSL-Mailer

    Hallo Forest-Fairy,


    mein Thunderbird meckert in der Zertifikatverwaltung unter Zertifizierungsstellen, daß das Stammzertifikat nicht verifiziert werden kann, weil der Signaturalgorithmus zu alt ist. Und bei einem Blick in die Details kann ich es auch verstehen. Da steht unter Zertifikatsunterzeichnungs-Algorithmus: PKCS #1 MD5 mit RSA-Verschlüsselung. Das scheint selbst für Stammzertifikate zu alt zu sein. Auch das SHA-1 vom Domänenzertifikat selbst scheint Thunderbird nicht mehr zu akzeptieren.


    Da hilft wohl nur Telefon oder Fax ;-)


    Viele Grüße

    SSL-Mailer

    Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version: 68.3.1
    • Betriebssystem + Version: Windows 10

    Hallo!


    Kennt jemand einen Weg, den Hinweis "Thunderbird kann nicht auf die neueste Version aktualisieren - Thunderbird herunterladen - Nicht jetzt" zu deaktivieren?


    Außer ständigen Updates?


    Ich will die jetzige Version behalten, bis ich manuell update.


    Bitte keine Hinweise zum Thema Sicherheitslücken, ich weiß das alles, aber ich will bei dieser Version erstmal bleiben.


    Viele Grüße

    SSL-Mailer

    Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version:
    • Betriebssystem + Version: Windows
    • Kontenart (POP / IMAP):
    • Postfachanbieter (z.B. GMX):
    • Eingesetzte Antivirensoftware:
    • Firewall (Betriebssystem-intern/Externe Software):



    Hallo!


    Das Problem, die Schlüsselpaare einer DATEV-Smartcard (z. B. Smartcard classic) nicht nur unter Windows-Programmen, sondern auch zum Signieren und Verschlüsseln von Mails in Thunderbird einzusetzen, wurde hier: Thunderbird mit DATEV-SmartCard / nPA

    schon mal angesprochen.


    Da das aber lange her ist, habe ich es neu gemacht.


    Kurz und bündig: es geht. :thumbsup:


    Um die DATEV-Smartcard unter Thunderbird nutzen zu können, muß ein DATEV-Sicherheitspaket installiert sein. Dann kann das passende PKCS#11-Modul in Thunderbird als Kryptografie-Modul eingebunden werden. Die dazu nötige Datei ist die C:/Windows/System32/dvccsap11003.dll, die vom Sicherheitspaket installiert wurde.


    Danach werden bei eingesteckter Smartcard unter "Ihre Zertifikate" drei eigene Zertifikate in Thunderbird angezeigt, zwei Verschlüsselungszertifikate ("Empfängerzertifikate", eines mit SHA-512 und eines mit SHA-256, wohl für Kompatibilität mit alter Software) und ein Signaturzertifikat ("Unterzeichner-Zertifikat", SHA-512).


    Alle drei Schlüsselpaare sind jeweils nur für einen Zweck (Verschlüsselung oder Signatur) einsetzbar. Thunderbird schlägt in den Konteneinstellungen die passenden Zertifikate zur Auswahl vor. Hintergrund für die Trennung der Zwecke ist wohl ein Sicherheitsgedanke.


    Die Trennung bedeutet, ein Empfänger, der eine signierte Mail erhält, kann dadurch noch nicht seine Antwort verschlüsseln, da er nur den öffentlichen Teil des Signaturpaares erhält. Soll er seine Antwort auch an den Absender verschlüsseln können, muß er eines der Verschlüsselungs-Schlüsselpaare vorher kennen oder erhalten, z. B. aus dem DATEV-Verzeichnisdienst.


    Ob Thunderbird den öffentlichen Teil des Verschlüsselungszertifikats bei bloßer Signatur sozusagen als Service mitsendet, wenn man in den Kontoeinstellungen ein Verschlüsselungszertifikat ausgewählt hat, weiß ich noch nicht.


    Viele Grüße

    SSL-Mailer

    Hallo Peter_Lehmann,


    vielen Dank für die freundliche Begrüßung und deine ausführliche Antwort.


    Natürlich ist das nicht auf meinem Mist gewachsen. Ich hatte darüber gelesen, daß es sicherer ist, Verschlüsselung und Signatur mit getrennten Schlüsseln zu machen und dann in TB diese Unterscheidung gesehen.


    Ist diese Möglichkeit in TB nicht genau für solche Zwecke gedacht?


    Warum gerade die Signatur durch ein StartSSL- oder Comodo-Zertifikat? Weil jemand "neues", der mein Stammzertifikat nicht installiert hat, eine Mail bekommt mit einer Unterschrift, und diese nicht gleich als "nicht vertrauenswürdig" oder so angezeigt werden soll.


    Und eben: "vom Staat nicht unbedingt gewollt" :D
    Deswegen hätte ich den Schlüssel, mit dem verschlüsselt wird, gerne selber gemacht...


    Viele Grüße
    SSL-Mailer


    PS: Funktionieren tut es übrigens schon. Die Zertifikate haben nicht einmal den gleichen CN, das kostenlose hat die Mailadresse und im selbstgemachten habe ich den Namen drin mit dem Zusatz "Verschlüsselung". Wenn der Empfänger und "Antworter" mein Stammzertifikat als vertrauenswürdig betrachtet, geht es reibungslos.

    Hallo,


    eigentlich dachte ich, ich hätte eine gute Idee: In Thunderbird die Möglichkeit nutzen, getrennte Schlüssel für Signatur und Verschlüsselung einzustellen bei einem Mailkonto.


    Der Gedanke war, zum Signieren ein - kostenloses - Zertifikat von einem der großen Anbieter zu nehmen, das jeder Browser akzeptiert, und als Verschlüsselungszertifikat ein per OpenSSL selbsthergestelltes Zert. zu nehmen.


    Das geht auch, Thunderbird hält beide Schlüssel auseinander, die Unterschrift wird bei einem uneingeweihten Empfänger angezeigt, und er kann auch, wenn er selbst ein Zertifikat hat, an mich verschlüsseln.


    Problem jetzt leider: Thunderbird weigert sich, diese Antwortmail zu signieren mit dem Argument, das Zertifikat des Rückempfängers sei nicht bekannt oder nicht vertrauenswürdig. Damit kann nur das selbstgebaute Verschlüsselungszertifikat gemeint sein. Der Antwortende müsste also vorher mein Stammzertifikat als vertrauenswürdig einstellen, was er im Normalfall nicht getan hat (oder auch gar nicht weiß, was er tun soll).


    Gibt es irgendeine Lösung, diese Idee doch noch umzusetzen?


    Danke und Grüße
    SSL-Mailer