Beiträge von Peter_Lehmann

Na, denk mal scharf nach ...

... wer oder was muss wissen, ob ich einem bestimmten Herausgeber von Zertifikaten vertrauen darf?

o
o
o
o
o

Richtig! Der Client, welcher das Zertifikat auswertet bzw. nutzt.

Bei einem WinDOSen-Nutzer mit Ausgugg ==> Zertifikatsspeicher des Betriebssystems (via I-Ex)
Bei einem Thunderbird-Nutzer (alle Betriebssysteme) ==> Zertifikatsspeicher des TB
Bei einem Firefox-Nutzer (Zertifikate für Webseiten) ==> ebenso
Bei einem ... usw.
Und wenn du selbst einen Webserver mit SSL betreibst, oder einen VPN-Server, dann auch die Server.

Und wenn du im Zertifikatsmanager des TB unter "Herausgeber" ein Zertifikat markierst, dann siehst du unten den Button "Bearbeiten". Mal gaaaaaaaanz vorsichtig draufklicken ... .

Also bei IMAP ist es leider sehr oft der Fall, dass die gesendete Mail nicht in den Gesendet-Ordner auf dem Server kopiert wird.
Aber du hast ja POP3 ... .
Schau mal nach, was du in den Kontoeinstellungen unter "Kopien und Ordner" zu stehen hast. Manche Nutzer berichten, dass es beser ist, nicht die erste Variante (Ordner "Gesendet" in ...), sondern die zweite Möglichkeit zu wählen, also "Anderer Ordner" um dann wieder auf den Gesendet-Ordner zu verweisen.

Ist bei dir auch sichergestellt, dass der Virenscanner das TB-Profil nicht überwachen darf? Auch das Scannen des ausgehenden Mailtraffics ist IMHOI sinnfrei und bringt mitunter echte Probleme. Zumindest solltest du auch dort suchen.

Hinweis: Unsere Suchfunktion, und dort nach deinem Problem suchen.

MfG Peter

Hi oeggl100,

und willkommen im Forum!

Den kleinen unauffälligen Kasten hast du bestimmt übersehen?

MfG Peter

Hallo kayyy,

und willkommen im Forum!
Manchmal sind solche "Nebensächlichkeiten" schon wichtig, bevor wir auf eine Frage antworten.

Vermutlich POP3?
Dann kannst du in den Kontoeinstellungen >> Erweitert festlegen, ob das Konto den globalen oder einen separaten Posteingang nutzen.

MfG Peter (zu spät, aber trotzdem ... .)

Hi David,

Zitat von "David.P"

Was bedeutet zum Beispiel CA -- ist das eine Abkürzung für "Certificate" oder für "Certificate Authority"?

Certificate Authority
Also die Stelle, welche Zertifizierungen vornehmen darf.
Zertifizierung bedeuteet hier, die elektronische Signatur der Userangaben, dessen öffentl. Schlüssels usw.

Zitat von "David.P"

Falls es Letzteres ist, was ist in diesem Fall die von Dir genannte "Root-CA"? Ich hätte eigentlich gedacht, das ist ein "Wurzelzertifikat", in diesem Fall wäre es aber eine "Wurzel-Zertifikatsbehörde", und was würde das dann bedeuten...?

Im realen Leben ist das wirklich oftmals eine Behörde (z. Bsp. für die Bundesverwaltung das BSI).
"Root-CA" und "Wurzelzertifikat" ist im Prinzip das gleiche. Es ist die CA, die mit ihren "Wurzelzertifikat", die Signatur aller darunter stehenden Zertifikate vornimmt. In einem richtigen Trustcenter ist diese oftmals körperlich getrennt und besonders gesichert. Denn, wenn das "Wurzelzertifikat" kompromittiert wurde, kann das Trustcenter dicht machen. Dann wird wohl nie wieder jemand von denen ein Zertifikat kaufen wollen ... .
Bei dir (und mir privat) läuft das natürlich alles auf einer Kiste bzw. in einem Programm.

Zitat von "David.P"

Wie stelle ich also "ein Root-Zertifikat für eine CA" her. Ich habe es mit der Vorlage "[default] CA" versucht, die ganzen persönlichen Daten eingetragen, ansonsten nichts verändert und das Zertifikat als *.crt exportiert. Schau ich mir dieses an, dann steht dort schon wieder "Unterzeichner unbekannt, nicht vertrauenswürdig". Dasselbe in einem Nutzerzertifikat, welches mit diesem von mir erstellten Root-Zertifikat unterschrieben ist: "Unterzeichner unbekannt, nicht vertrauenswürdig". Habe ich hier wieder was falsch gemacht, oder ist das normal, weil niemand den Zertifikaten Vertrauen ausgesprochen hat....?

Das Root- oder Wurzelzertifikat ist immer selbst signiert (selbst beim BSI).
Es hat eine längere Gültigkeit (10-15 Jahre), und es stehen auch keine persönlichen Daten drin, sondern eben die "der Firma".
Dieses Zertifikat dient ausschließlich der Signatur (wenn vorhanden bzw. gewollt) weiterer Unter-CAs (Jahres-CA), der Nutzer-Zertifikate und evtl. der Sperrlisten.
Das Vertrauen in dieses Wurzelzertifikat muss der Nutzer bewusst einstellen! => Bearbeiten, Haken setzen. Das ist der so genannte "Vertrauensanker". Erst wenn dieses einmalige Einstellen des Vertrauens erfolgt ist, werden auch alle darunter liegenden Zertifikate als vertrauenswürdig anerkannt.
Bei den etablierten Trustcentern übernimmt das Einstellen des Vertrauens der Hersteller des Browsers oder Mailclients. Deshalb stehen da schon so viele drin.

Zitat von "David.P"

Weiter im Text schreibst Du "Diese Root-CA zertifiziert entweder gleich die Nutzerzertifikate [...]. was heißt "zertifiziert", für mich bei der Erstellung des Nutzerzertifikats?

Zertifizieren heißt, dass du durch das ausgewählte Herausgeber- oder Wurzelzertifikat die weiteren Zertifikate unterschreibst.
Bei XCA ganz einfach gelöst: Du wählst das auf der erste Seite bei einem neuen Zertifikat einfach aus. Mehr ist das nicht. Wenn du dann zum Schluss auf OK drückst, wird das neue Zertifikat durch das ausgewählte Zertifikat signiert (=zertifiziert).
Hast es ja selbst erkannt:

Zitat von "David.P"

Bedeutet das, dass ich bei der Zertifikatserstellung mit XCA, im Tab "Herkunft" im Feld "Verwende dieses Zertifikat zum Unterschreiben" dann mein vorher erstelltes Root-Zertifikat auswähle --

Zitat von "David.P"

Wie exportiere ich also ordnungsgemäß die Schlüsseldatei?

So, wie du beschrieben hast:
Nur im Tab "Zertifikate" kann ich überhaupt den Export als .pfd oder .p12 auswählen. Aber dann wird ja nicht gemäß Deiner Anleitung die Schlüsseldatei, sondern das ganze Zertifikat exportiert.
Schlüsseldatei = Zertifikat + privater Schlüssel., Format .pfx oder .p12
Dort einstellen "mit CertificateChain", dann ist das Wurzelzertifikat mit drin.

Die reinen Zertifikate (also ohne privaten Schlüssel), exportiert im cer oder der-Format benötigst du, um sie deinen Mailpartnern zur Verfügung zu stellen. Also sowohl dein eigenes, als auch das Wurzelzertifikat.

Ein intelligentes Mailprogramm importiert beim Empfang einer signierten Mail diese Zertifikate automatisch. Trotzdem muss der Nutzer das Vertrauen in das Wurzelzertifikat immer bewusst einstellen, so lange es keines der etablierten Trustcenter ist. Erst nach dem Einstellen des Vertrauens funktionieren die Zertifikate, bzw. werden sie als vertrauenswürdig anerkannt. Trotzdem schadet es keinesfalls, wenn du dem Mailpartner auch die o.g. Zertifikate per Mail mitschickst. Nicht alle Mailclients sind intelligend genug. Hier muss der Empfänger eben die Zertifikate manuell installieren. Bei Produkten von M$ werden Zertifikatsdateien sogar als gefährliche Dateianhänge eingestuft und automatisdch gelöscht. Aber vor dem Versenden die Endung umbenennen hilft schon ... .

Letzter Hinweis:
Mozilla-Produkte bringen im Gegensatz zu M$-Produkten einen eigenen Speicher für Zertifikate und Schlüssel mit. Wenn du im Thunderbird so wie beschrieben, das Root-Zertifikat importiert und das Vertrauen ausgesprochen hast, dann dürften alle Zertifikate dieser CA als vertrauenswürdig gelten. Öffnest du allerdings ein Nutzerzertifikat direkt auf der WinDOSe, dann gilt das nicht! Hier musst du die Zertifikate zuerst über den Internet-Explorer importieren. Das Wurzelzertifikat natürlich zu den Vertrauenswürdigen. Dann klappt das auch mit der WinDOSe.

HTH

MfG Peter

Hi Elisabeth,

fangen wir noch mal an

- Dein TB-Nutzerprofil liegt an der standardmäßigen Stelle, keine Manipulationen (Verschiebungen) am Profil vorgenommen?
- Hast du Betriebssystemseitig Vollzugriff zu deinem Profil?
- Du hast mehrere Adressbücher angelegt. Siehst du diese selbst angelegten und die beiden vorgegebenen in der linken Leiste?
- Wie viele Adressbuchdateien siehst du im Profil? Stimmt die Anzahl mit den im Programm angezeigten überein?
- Habe ich das richtig verstanden, in die beiden vorgegebenen AB kannst du Adressen eintragen, aber in ALLE selbst angelegten nicht?
- Schreibe mal was zu deiner Arbeitsumgebung (normaler Einzelarbeitsplatz, Firmenumgebung, Einschränkungen <= Admin befragt?!?)
- Was passiert, wenn du ein Testprofil anlegst (Profilordner ...\Thunderbird umbenennen, TB starten, kleines Profil einrichten)
- Falls vorhanden, nenne uns mal alle installierten Add-ons

MfG Peter

Hi David,

zuerst einmal hoffe ich für dich, dass die in den Bildern eingetragenen Daten ausschließlich Dummies sind, denn sonst bekommst du bestimmt bald unerwünschte Post ... .

Das System "Julia Mail Office" kenne ich zwar nicht, aber gemäß deren Webseite sollte es damit problemlos funktionieren (wobei ich eine End-to-End-Verschlüsselung eindeutig einer Serverbasierten Lösung vorziehe).

Was du falsch gemacht hast?
Wenn ich das richtig sehe, dann hast du lediglich ein einziges selbst signiertes Zertifikat erzeugt und dieses exportiert. Dieses ist für die Anwendung immer nicht vertrauenswürdig!

Lösung:
Zuerst ein Root-Zertifikat für eine CA herstellen
Diese Root-CA zertifiziert entweder gleich die Nutzerzertifikate, oder - wie im professionellen Bereich üblich - nur die einzelnen Jahres-CA.
Dann die Jahres-CA erzeugen und diese von der root-CA zertifizieren lassen.
Und jetzt erstellst du die einzelnen Nutzer-Zertifikate und zertifizierst diese mit der jeweils gültigen Jahres-CA.

Zum Schluss exportierst du die Zertifikate.
- das Zertifikat der root-CA (nur den öffentlichen Teil, cer oder der, ohne Passwort!)
- wenn vorhanden das Zertifikat der Jahres-CA - " -
- die Zertifikate der Nutzer, wie oben, zur Übergabe an die "anderen"
- die Schlüsseldatei, ausschließlich zur eigenen Verwendung für den Inhaber, als .pfd oder .p12, weil mit secret-key mit Passwort

Die Schlüsseldatei kannst du so exportieren, dass die beiden Herausgeberzertifikate gleich mit in den Container übernommen werden. Das bedeutet, dass nach Import der pfx-Datei gleich die Herausgeberzertifikate mit importiert werden.
Importiert heißt aber keinesfalls, dass damit das Aussprechen des Vertrauens entfallen kann! Du spartst dir lediglich den vorherigen Import dieser Zertifikate.

MfG Peter

Kann ich mir gar nicht so recht vorstellen ... .

Adressbuch >> Datei >> Neu >> Adressbuch >> Name eingeben >> OK (So wird das ja auch bei dir sein.)

Dann:
Das entsprechende Adressbuch markieren >> Icon "Neuer Kontakt >> Und hier kommt bei dir wirklich nicht die Auswahl, in welchem AB du den neuen Kontakt speichern willst?

Es könnte natürlich an dieser Stelle sein, dass eines meiner Add-ons dieses Auswahlfenster bereitstellst, aber das will ich nicht so recht glauben, denn meine Add-ons haben eigentlich aufs AB keinen Einfluss. Ich will jetzt auch an der Stelle nicht weiter experimentieren (Safe-Modus usw.).
Aber, es lesen ja auch noch andere mit, und die schauen doch bestimmt auch mal schnell nach, ob sie diese Auswahlfunktion haben ... .

MfG Peter

Hallo Elisabeth Johanna,

Wenn du einen neuen Kontakt anlegst, dann hast du doch in der Karteikarte "Neuer Kontakt" das Auswahlfeld "Hinzufügen zu ..." mit der Auswahlmöglichkeit zu einem der angelegten Adressbücher.
Ist dort das neu angelegte Adressbuch zu sehen und auszuwählen?

MfG Peter

da_jackster,

weißt du eigentlich, dass es hier im Forum auch möglich ist, einfach auf "Antworten" zu klicken? Was sollen die sinnfreien Vollzitate?
(Mir ist es nämlich zu umständlich, immer die alten Texte noch einmal lesen zu müssen ... .)

Peter

Hi Blondy, (das als Ergänzung von rums Beitrag, der zwischenzeitlich kam)

ich kann mir auch kaum vorstellen, dass das etwas mit "neuer" und "alter" Version des TB zu tun hat. Deshalb habe ich ja auch geschrieben, dass ich " jetzt leider auch passen" ... muss.

Manchmal funktioniert etwas eben einfach nicht ... .

Frage: Ist IMAP wirklich für dich das Instument deiner Wahl? Nutzt du mehrere TB-Installationen oder müssen mehrere Nutzer auf den gleichen Mailbestand zugreifen?
IMAP ist zwar IMHO das modernere und bessere Protokoll. Aber wenn es - aus wer weiß welchen Gründen - nicht funktioniert, dann kann ein User, der die Vorteile von IMAP nicht unbedingt benötigt, auch weiterhin mit POP3 arbeiten.
Wichtig ist dabei nur, dass du in den Servereinstellungen festlegst, dass die Mails nicht vom Server gelöscht werden, also das Protokoll etwas "verbiegst". Damit sicherst du, dass bei einem späteren IMAP-Versuch die Mails dort noch vorhanden sind.

MfG Peter

Zitat von "Thorsten1982"

In der Hilfe noch nicht nachgesehen. Sorry. Hilfst du trotzdem?

Ich bin doch schon dabei, oder?
Aber ich erwarte ein gewisses Maß an Eigeninitiative, besonders bei Usern, die es eilig haben ("schnell ...")

Merke: Ich lasse mich nicht (mehr) antreiben. Bringt bei mir nix ... .

Zitat von "Thorsten1982"

gmx.de
...
Meldung:
"...mit dem SMTP-Server mail.gmx.net fehlgeschlagen ist. "
...
Kein Providerwechsel.

Alles anzeigen

Dieses sind sehr wichtige Informationen.

Zitat von "Thorsten1982"

Die Einstelluungen wurden jedoch nicht geändert deswegen wundert es mich, dass es net mehr geht..... Aber es kann doch auch nicht daran liegen, dass das Internet nicht ging. Das hat ja nichts mit den Einstellungen im Thunderbird zu tun. Die bleiben doch gleich oder?

Normalerweise hat das keinerlei Auswirkungen. Aber wenn die Ursache in Veränderungen in eurem Netz liegen (Providerwechsel, Firewall, aber auch geänderte Vorschriften, wie z.Bsp. Einschränkungen in der Auswahl des Mailproviders, wie in Firmen üblich, usw.), kann es schon Auswirkungen haben. DESHALB fordere ich auf, einen Admin zu konsultieren.

Zitat von "Thorsten1982"

Telnet-Test? Was ist das - wie geht das? Bitte beschreiben!

Das habe ich ausführlich gemacht - in unserer Anleitung ... .

Zitat von "Thorsten1982"

Anderes Sendeport gestet? Kenne mich mit den Ports nicht aus. Standartmäßig ist die 25 eingestellt.

Auch hier verweise ich auf Anleitung und Suchfunktion ... .
==> Port 587 testen
==> Benutzername bei gmx: Kundennummer! (sehr zu empfehlen!!)

Zitat von "Thorsten1982"

Netz wurde gesperrt, da sich jemand eines nicht rechtmäßigen downloads bedienst hat. ... Empfangen kann ich Mails ja das ist ja das kuriose.....

Also wurde doch an der Firewall geschraubt. Empfangen und Senden sind zwei völlig unterschiedliche Vorgänge, die beide unabhängig voneinander mit der FW beeinflusst werden können. Deshalb (und immer wieder) der Test mit Telnet ... .

MfG Peter

Hi, Thorsten,

Welcher Provider?
Fehlermeldung? (Wörtlich zitieren, einschließlich Nennen des Servernamens)
Test mit telnet gemacht?
Alternativen Sendeport getestet?
Admin oder "IT-Verantwortlichen" gefragt, ob Änderungen vorgenommen wurden? Bzw. Grund des Netzausfalles?
Eventuell sogar Providerwechsel? Firewall installiert oder geändert? (Portsperre auf :25?)
Schon mal selbst mit Hilfe unserer Suchfunktion nach Sendeproblemen gesucht?

Schnell genug?

MfG Peter

Hi rxm,

und willkommen im Forum.
Den hatte ich auch noch nicht ... .
Was steht im Quelltext der gesendeten Mail? Du kannst auch gern den Quelltext (leicht anonymisiert!) hier posten.

MfG Peter

Freut mich, dass ich dir habe helfen können.

Wenn du
'TrueCrypt einmal installiert hast, kannst du es selbstverständlich auch ohne Admin-Rechte benutzen. Du musst für die tägliche Arbeit auch nicht jedesmal die GUI starten, sondern kannst dir kleine Verknüpfungen auf den Desktop legen, mit denen du den oder die Container einzeln startest, mountest und auch gleich einem Lw zuordnest. Dazu bietet sich z. Bsp. generell das Lw b: an.

MfG Peter

Hi Pan1907 (oder 1907?) :-),

ja, warum wohl muss das so sein?
Das Medium E-Mail gibt dir nie eine Garantie, dass deine Mail wirklich ankommt. Und obwohl heutzutage rund 95% aller durchs Netz laufenden Mails Spam sind, kommen trotzdem so ziemlich alle Mails beim richtigen Empfänger an. Das ist wirklich eine Leistung!

Diese Leistung wird unter anderem erreicht, indem die Mailserver einige Prüfungen durchführen und über ein umfangreiches Verzeichnis an Fehlermeldungen verfügen.

Die von dir zitierte Meldung besagt, dass ein Server ein Problem mit (mindestens] einer der Mailadressen hat. Das können syntaktische Fehler sein (Leerzeichen, ungültige Zeichen usw.), unbekannte Servernamen, aber auch unbekannte Benutzernamen, zumindest beim eigenen Provider. Meistens hat der Postausgangsserver mit seiner Fehlermeldung Recht ... . Zumindest sollte die Fehlermeldung für dich der Anlass für eine Nachfrage bei den Empfängern sein. Und das ist doch gut so, oder?

MfG Peter

Hallo Ulrich,

Zitat von "losgehts"

...Hier nochmals vielen Dank für die Anleitung in den FAQ, die hat mir dabei sehr geholfen. :top:

Danke

So, nun will ich mal sehen, ob ich auch noch ein paar Antworten auf deine Fragen habe.

zu a)
Diese Frage kann dir wirklich niemand beantworten.
Ich kenne ja die Qualität deines Passwortes nicht
Wenn du (so wie das ein mir sehr gut bekanntest Trustcenter macht ) deinen private-key mit einem 16-stelligen Zufallsschlüssel schützt, dann musst du dir garantiert keine Sorgen wegen der Kompromittierung machen. Dieses Passwort ist ja eigentlich auch nur das so genannte "Transportpasswort". Wenn der Schlüssel in das "Software-Kryptografiemodul" importiert wurde, schützt ja das Masterpasswort vor dem Auslesen.

Ich denke mal, wir können alles übertreiben. Ich habe hier schon mehrfach den in meiner Berufssparte gängigen Begriff des kalkulierbaren Restrisikos genannt. Das ist der Kompromiss zwischen "maximal möglich" und "sinnvoll und bezahlbar".

So mache ich das: Ich verwende mehrere kleinere TrueCrypt-Container für meine diversen kleinen privaten "Geheimnisse".

zu b)
Ja das stimmt. Aus Gründen der "kryptologischen Härte" wird auch von der hiesigen Sicherheitsinstanz dem BSI, empfohlen, dass Softwaretoken eine begrenzte Lebensdauer von einem Jahr erhalten. (Einer der Unterschiede zur GnuPG-Fraktion deren Schlüssel in der Regel unbegrenzt gültig bleiben ...)
Das bedeutet, dass du mit einem abgelaufenen Zertifikat (öffentlichen Schlüssel eines Empfängers) nicht mehr verschlüsseln, und mit deinem abgelaufenen eigenen Schlüssel nicht mehr signieren kannst. In beiden Fällen verweigert das ein Client, der dem Standard entspricht.
Aber wie du schon richtig festgestellt hast, benötigst du die abgelaufenen Schlüssel, um alte, an dich gerichtete Mails zu entschlüsseln. Dafür sind die privaten Schlüssel unbegrenzt in der Lage. Du musst und kannst sie also weiterhin unter den eigenen Zertifikaten importiert lassen. Und sie kommen sich auch nicht ins Gehege, denn: In den Kontoeinstellungen legst du ja für jedes Konto fest, welcher aktueller Schlüssel zum Entschlüsseln und signieren zu verwenden ist. Trotzdem kannst du eine "alte" Mail problemlos öffnen.

zu c)
Nun, "umgehen" kann jeder Texteditor mit verschlüsselten mbox-Dateien. Allerdings siehst du nur Müll ... .
Prinzipiell ist es möglich, dass ein Editor diese Funktion beherrscht. Ich kann sogar auf der Konsole per openSSL die entsprechenden p7m-Container öffnen. Aber ich kenne keinen Editor, der diese Funktion von Hause aus kann. (Ich behaupte auch keinesfalls, dass ich alles weiß ... .)
Du must eben Prioritäten setzen.

zu d)
Auch hier sind wir wieder bei den Prioritäten und dem kalkulierbaren Restrisiko ... .
Ich arbeite in einem TrustCenter. Und das Wort "Trust" hat wohl irgendwas mit "Vertrauen" zu tun. Sicherlich sind die Sicherheitsanforderungen nicht unbedingt zu vergleichen, aber ich gehe mal davon aus, dass meine dortigen Kollegen ihre Arbeit genau so ernst nehmen, wie ich die meinige.
Die Verbindung zwischen deinem Browser und dem Webserver des Providers ist SSL-gesichert. Jetzt kann sein, dass bereits dein Browser die Mail mit dem Zertifikat des Empfängers verschlüsselt und eine verschlüsselte Mail erst in deinem eigenen Browser mit Hilfe deines eigenen Schlüssels entschlüsselt wird. (End to End-Verschlüsselung).
Es kann aber auch sein, dass diese beiden Funktionen bereits auf dem Webserver erfolgen. Ich weiß es einfach nicht. Gehe aber persönlich von der ersten Möglichkeit aus. (Steht da wirklich nichts bei web.de geschrieben???)

Fakt ist zweierlei:
1.) Dieses Angebot von web.de ist ein ausgezeichneter Einstieg für das Versenden und Empfangen verschlüsselter E-Mails und somit ein erster Schritt in Richtung Privatsphäre. Für viele Nutzer ist S/MIME im Mailclient einfach zu kompliziert. Einfacher als per web.de geht es nicht! Also ein Schritt in die richtige Richtung.
2.) Wenn eine Firma (ein Trustcenter) dir "ein Zertifikat" bereitstellt, dann geschieht das in der Regel so, dass du eine Onlinehandlung vornimmst. Dabei generiert dein eigener Browser(!!!) den private-Key, berechnet daraus den public-Key und sendet lediglich deinen public-Key zusammen mit den notwendigen Zertifikatsdaten an den Server des Trustcenters. Diesen Vorgang nennen wir einen "Zertifikats-Request". Dabei ist garantiert, dass der private-Key niemals deinen Browser verlässt. Auf dem Server werden dein öffentlicher Schlüssel und die Zertifikatsdaten sowie Daten des Trustcenters verbunden und das ganze mit dem (wirklich streng geheim gehaltenen!!!) private-Key des Trustcenters signiert. Dieses Produkt ist das Zertifikat. Es ist rein öffentlich.
Dieses Zertifikat wird zurück an den Browser geschickt. Er kann (und sollte!!!) es mit dem dort sicher gespeicherten eigenen private-Key als "Schlüsseldatei" (.p12 oder .pfx) exportieren, wobei das Transportpasswort gesetzt werden sollte. Selbstverständlich kannst du auch nur das Zertifikat exportieren.
Dieses Verfahren wird verbindlich durch das TC-Trustcenter Hamburg angewandt, und ich gehe davon aus, dass das auch bei web.de so ist. Hier kann ich es aber mangels Kenntnis nicht mit Sicherheit sagen!

Aber, und das ist wieder eine ganz andere Qualität:
Wenn du dir zum Bsp. beim TC Hamburg eines der beliebten "Kostnix-Zertifikate holst, dann bekommst du eine Schlüsseldatei für sichere Mailverschlüsselung. Aber im Gegensatz zu den kostenpflichtigen Produkten erfolgt hier keinerlei Identitätsfeststellung! Darauf wird auch Seitens des TC hingewiesen. Es erfolgt also lediglich eine Überprüfung der Mailadresse. Niemand garantiert dir, dass der Unterzeichner einer Mail wirklich eine authentische Person ist!
[Bei einem, zugegebenermaßen teueren, Zertifikat für fortgeschrittene oder gar qualifizierte Signaturen garantieren wir, dass die eingetragene Person identifiziert wurde und authentisch ist!]
Ich weiß nicht, ob das jetzt noch so ist, aber wenn ich so 10 bis 15 Jahre zurückdenke, dann lief das bei meinem alten web.de-Zertifikat so ab: Ich musste mich nach dem Post-Ident-Verfahren bei einem Postbediensteten identifizieren, und dieser bestätigte web.de meine Authentizität. Das bedeutet, dass bei einem (zumindest damaligen!) Zertifikat von web.de die im Zertifikat eingetragene Person authentisch ist.
Auch dieses solltest du bei der Einschätzung des Zertifikates von web.de mit berücksichtigen.

MfG Peter

... nur eine Adresse ...

Genau das weiß ich nicht, da mein dortiger Account ein wirklich uralter ist, und ich Jahrelang nicht mehr auf der Seite von web.de war.
Ich wollte mir meinen Fragen lediglich ausschließen, dass "irgendetwas" mit einer weiteren Verbindung mit den gleichen Benutzerdaten für diese Fehlermeldung sorgt.

Ich bin hier mit meinem Latein wirklich am Ende

MfG Peter

Ich hatte das schon gelesen, mit dem erstmaligen Einloggen ... .
Nutze selbst ein (ohne Eingänge mitlaufendes uraltes ...) web.de-Konto. Aber diesen Effekt hatte ich noch nie. Ich wüsste auch nicht, woher er kommen sollte - außer eben beim Anruf innerhhalb der Sperrzeit.

- Hast du wirklich nur ein einziges Konto mit diesen Daten, und nicht etwa einen Alias als Konto eingerichtet?
- Du bist auch ganz sicher, dass nicht irgend ein anderes Programm mit deinen Daten wei web.de eingeloggt ist?
(Es gibt da diverse Programme, die regelmäßig eine Mailbox abfragen ... .)
- Auch keinen Webmailzugang am Laufen?
- Schon mal das Passwort bei web.de geändert? Man weiß ja nie ... .

Ja, mehr fällt mir dazu nicht ein.

MfG Peter

Hallo Hagai,

und willkommen im Forum!
Das ist der so genannte "Komm_in_den_kostenpflichtigen_Club_Motivations-Countdown".
Wenn du nicht gewillt bist, etwas für die Dienstleistung deines Providers zu bezahlen, dann musst du etweder mit dem Webmail leben, oder die 15 Minuten Pause akzeptieren.
Stell das Abrufintervall auf 16 Minuten ein, rufe nicht zwischenzeitlich manuell ab - und Ruhe ist.

Diese Einschränkung gilt nur für POP3, nicht für Webmail <grusel> und nicht für IMAP. Letzteres gibt es ja offiziell nur im Club.

NB: Dieses Thema hatten wir schon sooooo oft. Suchfunktion (ganz links) hat nichts gebracht?

MfG Peter