TB 3.0 / 8.0 nutz falsches SMIME Zertifikat

    Hallo Forum,

    ich habe mir nach der Anleitung aus dem Wiki für meine verschiedenen Mailkonten SMIME Zertifikate von http://www.trustcenter.de erstellt und installiert. Das hat auch alles gut funktioniert. Nur nutzt TB nun zum signieren/verschlüsseln nur das zuletzt erstellte Zertifikat. Obwohl ich alle (drei) Zertifikate installieren konnte und auch alle drei im Zertifikat-Manager erscheinen, lässt sich im jeweiligen Mailkonto lediglich das zuletzt installierte Zertifikat auswählen.
    Alle drei Zertifikate lauten auf den gleichen Namen, lediglich die Emailadressen unterscheiden sich.
    Was kann man tun...?

    Gruß
    Jürgen

    Hallo Jürgen,

    und willkommen im Forum!
    So richtig kann ich das nicht glauben ... .
    Wenn du wirklich unter "Ihre Zertifikate" drei verschiedene Schlüsseldateien importiert hast, und diese auch mit unterschiedlicher Seriennummer (HEX-Zahl) zu sehen sind, dann müssten sie auch bei der Auswahl fürs Signieren und Entschlüsseln angeboten werden.
    Installiere dir mal das Add-on "View your certificates Email Adress". Dann kannst du auch die im Zertifikat stehende E-Mailadresse direkt in der Liste im Zertifikatsmanager sehen.

    Das richtige (!) Herausgeberzertifikat vom TC ist auch importiert? => genau anhand der Seriennummer überprüfen!
    Vertrauen in das Herausgeberzertifikat eingestellt?

    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Ja, ist definitiv so,

    ich habe jetzt gerade zum Test noch einmal für meine letzte Emailadresse ein Zertifikat erstellt und importiert. Es erscheint neben den anderen so wie es sich gehört im Zertifikatsmanager. Wieder ist für alle Konten aber nur dieses Zertifikat auswählbar. Alle anderen erscheinen nicht in der auswahlliste.
    Kontrolle der Email im Zertifikat habe ich natürlich schon gemacht, allerdings ohne Erweiterung, sondern mit einem Blick in die Details...

    Und das sind auch alles "echte" Mailkonten und keine Aliasse?
    Die dort eingetragene Absenderadresse stimmt mit der im Zertifikat überein?

    Seltsam. Hatte ich noch nicht.

    Angebot: Schicke mir per PN die Daten, die ich benötige, um mir vom ldap des TC deine Zertifikate zu holen, um sie mir anzusehen.

    Fakt ist, ich besitze selbst für jedes Konto ein eigenes Zertifikat, alle auf meinen Namen, eines davon auf Chipkarte - und alle kann ich zum Entschlüsseln und zum Signieren auswählen.

    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Ich habe exakt das gleiche Problem!

    Ich nutze ein IMAP-Mailkonto, mit mehreren Absenderadressen. Für alle Absenderadressen habe ich eigene Zertifikate erstellt und importiert. Sie sind sichtbar und haben auch unterschiedliche Mailadressen eingetragen.

    Wenn ich nun unter Extras/Konten/SMIME das Zertifikat auswählen möchte, bekomme ich nur ein Zertifikat der drei importierten angeboten

    Ich nutze allerdings TB 2.0.0.23

    Externer Inhalt img696.imageshack.us
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

    Einmal editiert, zuletzt von speerwerfer (15. Dezember 2009 um 22:07)

    Hi methusalem,

    du schreibst, dass du EIN ... Mailkonto mit MEHREREN Absenderadressen verwendest.
    Hier ist die Sachlage recht klar. Da kannst du auch nur ein Zertifikat in den Kontoeinstellungen speichern. Die anderen Adressen sind ja Aliasse.

    Es gibt da eine Erweiterung mit der du auch im Dialog für "weitere Identitäten" die Möglichkeit hast, diesen jeweils ein Zertifikat hinzuzufügen. ==> https://addons.mozilla.org/de/thunderbird/addon/8814

    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Hallo Peter,

    sorry, da haben sich unsere Posts überschnitten. Ich hatte mich unglücklich ausgedrückt.

    Klar, das ich für mehrere Aliase das AdOn brauche. Aber wenn ich drei Zertifikate importiere, dann muss ich doch eins von den dreien auswählen können (für das Mailkonto). Mir wird da aber nur eins von den dreien gezeigt.

    Ich hab in meinen ersten Post mal einen Screenshoot angehängt!

    und so siehts im Krypto Modul aus:

    Externer Inhalt img98.imageshack.us
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

    Ich schaue mir das morgen mit TB3 an.
    Fakt ist, dass ich schon seit Jahren (von TB1 bis TB3) mehrere Zertifikate auf meinem Namen hatte und es sind noch nie Probleme aufgetreten.
    Auf dem TB3 habe ich allerdings (was ich sonst nie mache!!!) ein altes Profil einfach weiter verwendet. Ich werde mir morgen mal noch einige Zertifikate herstellen und importieren. Ich melde mich mit dem Ergebnis.

    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Ich habe es jetzt einmal mit den Zertifikaten von Startssl getestet. Da funktioniert alles wie es soll...
    Scheint also irgendwie mit den Zertifikaten von trustcenter.de zusammen zu hängen.

    P.S. Wie zuverlässig läuft das mit dem revoke bei den Trustcenter Zertifikaten. Die Onlineoberfläche tuts leider nicht. Ich habs jetzt mal per Mail probiert. Mal abwarten...

    Viele Grüß
    Jürgen

    Hallo Jürgen,

    wenn du beim TC ein Zertifikat sperren lässt, wird es auch sauber in deren Sperrliste (crl) eingetragen. Soweit gut.
    Aber nenne mir bitte drei Leute, die auch ihren Mailclient so eingestellt haben, dass sie Sperrlisten downloaden und auswerten lassen :-)
    (OK, brauchst nur noch zwei ... .)

    Was auf jeden Fall funktioniert ist, dass deine Zertifikate auf der Such-/Downloadseite als gesperrt angezeigt werden. Und da du ja bislang niemandem deine Zertifikate gegeben hast, wird sie ja auch niemand benutzen. Und selbst wenn, kann ja trotzdem ein Absender diese Zertifikate zum Verschlüsseln an dich diese verwenden. Du kannst mit den eingerichteten Schlüsseln auch die damit verschlüsselten Mails lesen. Ich schleppe alle seit Jahren gesperrten Zertifikate in meinen Speicher für eigene Z. mit. Ich brauche sie, sollte ich mal eine Mail lesen wollen, die mir jemand vor 5 Jahren geschickt hat. Sonst könnte ich sie löschen (die Zertifikate und natürlich auch die Mails ... ).
    Da ich diverse Sperrlisten auswerte, wird auch im TB jedes mal sauber angezeigt, dass das Zertifikat des Absenders gesperrt oder abgelaufen ist.

    Martin:
    Ich bin heute noch nicht dazu gekommen, mal mit einem frischen Testprofil unter TB3 mehrere Zertifikate auf einem Namen zu testen. Es gibt Anzeichen (=> Jürgen schreibt so etwas), dass es mit Zertifikaten eines anderen Anbieters problemlos funktioniert und die Probleme nur bei Zertifikaten vom TC HH auftreten. Das kannst du ja auch mal testen. Ich bleibe aber an dem Problem dran.

    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Hallo,

    habs gestern leider nicht mehr geschafft. Außerdem will startssl ja die kompletten Adressdaten inkl. Telefon. Das wollte ich dann doch nicht (nur um zu testen).

    Gibts noch andere Anbieter, die kostenlose Zertifikate ausstellen?

    Martin

    So, ich nochmal ... hab nun doch mal zwei Zertifikate von Startssl gezogen. Und es klappt damit problemlos! Scheint also tatsächlich an den Zertifikaten von Trustcenter.de zu liegen.

    Ich hätte damit gerechnet, das sowas standardisiert ist ...

    Selbstverständlich ist das standardisiert. Den x.509-Standard kann jeder einhalten - oder auch nicht ... .

    Jedenfalls freut es mich, dass es jetzt auch bei dir funktioniert.

    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Zitat von "methusalem"

    ... Gibts noch andere Anbieter, die kostenlose Zertifikate ausstellen?


    Hallo Martin,

    schau Dir doch mal CAcert an! ;)

    Unter der Rubrik "Einen Assurer finden" findest Du auch Leute in Deiner Umgebung, die Dir da weiterhelfen ein Zertifikat zu bekommen. :zustimm:

    MfG ... Vic

    Hallo und ein frohes neues Jahr,

    da ich exakt das gleiche Problem (TB 3.0, Win XP) habe, möchte ich ein paar Details beisteuern. Auf welcher Seite der Fehler liegt (Thunderbird oder dem Trustcenter), das ist in meinen Augen nicht eindeutig.

    Ich habe zwei (Class 1) Zertifikate vom TrustCenter in Hamburg.
    Abgefragt wird dazu Vorname, Nachname und eMail-Adresse.

    Vorname und Nachname sind natürlich für beide Zertifikate identisch, die eMail-Adresse nicht.

    Beide Zertifikate sind im Zertifikat-Manager von TB unter "Ihre Zertifikate" vorhanden.

    Schaut man sich die an: \Details\Zertifikats-Layout
    so sieht man, dass beide gleich heißen, nämlich:
    "TC TrustCenter GmbH ID von <Vorname> <Nachname>"

    Anhand dieses Namens scheint TB die aber zu identifizieren, siehe:

    about:config
    mail.identity.id1.encryption_cert_name:TC TrustCenter GmbH ID von <Vorname> <Nachname>

    Dementsprechend kann ich in den Konten-Einstellungen unter S/MIME-Sicherheit auch nicht zwischen den beiden Zertifikaten auswählen, es wird nur eins angeboten, nämlich:
    "TC TrustCenter GmbH ID von <Vorname> <Nachname>"

    Zwei Fehlerursachen sind meiner Meinung nach möglich:
    - Das TrustCenter hält sich nicht an Vorgabe für die Bezeichnung
    - TB nutzt die falsche Variable für die Identifizierung

    Gruß Jürgen

    Obwohl ich ja nur zwei kostenfreie Zertifikate von der TC TrustCenter GmbH habe, ist meine Anfrage zu dem oben geschilderten Problem schon beantwortet worden. Das finde ich bemerkenswert und gut.

    Ich will sie dem Forum natürlich nicht vorenthalten, da sie einen Fehler in Thunderbird 3.0 aufzeigen.

    Zitat

    TC TrustCenter Team hat geschrieben:
    X509 konform haben wir die E-Mail Adresse im SubjectAltName angeben.
    Thunderbird scheint bei der Auswahl der Zertifikate nur den CN auszuwerten, da Sie in Ihrem Fall nun x-Zertifikate mit einem gleichen CN haben, zeigt Thunderbird Ihnen nur ein Zertifikat, das jüngste, an.

    Wenn Sie nun einen anderen CN haben, z.B. Jane Doe und jane doe, so werden Ihnen beide Zertifikate zur Auswahl bereit gestellt.

    In Mail (Mac) und (Outlook) treten diese Probleme nicht auf.

    04.01.09 12:07

    Gruß Jürgen