Zertifikatsdaten

Hi Deafjophi,

und willkommen im Forum (so viel Zeit muss schon sein).
Du musst das Z. (richtiger: die Schlüsseldatei) aus der Zertifikatsverwaltung (IE) exportieren. Und zwar mit dem privaten Schlüssel und als .pfx-Datei. Diese kannst du dann im TB importieren.

MfG Peter,
der auch dann einen Gruß schreibt, wenn der Anfragende dazu zu bequem ist.

Hi Jophi,

jetzt bin ich auch bereit, etwas ausführlicher zu antworten ... .

Der Unterschied ist der, dass Auskuck den zentralen Zertifikatsspeicher des Betriebssystems nutzt und Thunderbird eben nicht. (Er hätte ja auch Probleme, diesen auf einem Linuxrechner oder einem mac zu finden.)

Arbeitsschritte:
1. Von der Webseite des TC deren class-1-Herausgeberzertifikat laden und dieses in den TB importieren, Vertrauen aussprechen.
Begründung dafür: Da man einem class-1-Zertifikat grundsätzlich nicht von vorn herein vertrauen darf (es erfolgte ja keine Personenüberprüfung!), wird dem TB auch ein derartiges Zertifikat nicht von Hause aus mitgegeben. Du musst also BEWUSST dieses Z. installieren und dem Herausgeber und somit derartigen "minderwertigen" Zertifikaten dein Vertrauen aussprechen. Nebenbei: eine bekannte große Softwarefirma sieht das allerdings etwas anders. Gegen entsprechende bedruckte Papiere können auch andere Herausgeberzertifikate den Weg in die Installationspakete finden und dem Nutzer diese Entscheidung abnehmen ... .

2. Danach deine eigene aus dem IE exportierte Schlüsseldatei in den TB importieren.

3. Danach die Zertifikate deiner Mailpartner nach "Websites" (kleiner Bug im TB) importieren und denen das Vertrauen aussprechen. Voraussetzung dafür ist, dass deren Herausgeberzertifikate bereits importiert wurden, sonst gehts nicht.

4. Unter Einstellungen > Konten > S/MIME-Sicherheit deinem eigenen Mailkonto dein eigenes Zertifikat zuweisen.

Jetzt müsste es gehen. Vermute mal, der Punkt 1. wars schon.

Ergänzung zum Verständnis das "Vertrauen" betreffend:
Bei PGP stellt jeder seine Schlüssel selbst aus, und das "Zertifikat", also die Bestätigung, dass der Schlüsselinhaber wirklich die genannte natürliche Person ist, wird durch weitere (möglichst viele) PGP-Nutzer erzeugt. Das nennt sich "Web of Trust" und ist eine gute Sache. Allerdings sieht ein von 20 Dummie-Personen beglaubigter öffentlicher Schlüsses auch schon sehr "echt" aus. Anerkennen werde ich aber immer eine Beglaubigung, wie sie zum Beispiel der Heise-Verlag schon seit Jahren vornimmt.

Anders ist das bei den so genannten X.509-Zertifikaten. Dort bestätigt ein Trustcenter die Identität der im Zertifikat genannten Person. Und diese Identitätsprüfung machen sie sehr genau. (Ich weiß, wovon ich schreibe!) Und wenn du dem Trustcenter das Vertrauen aussprichst, dann vertraust du auch, dass die im Z. genannte Person wirklich diese ist.
Außer natürlich, bei den class1-Kostnixzertifikaten. Hier wird lediglich eine Mailadresse verifiziert.
Aber völlig unabhängig davon, für die private Kommunikation unter Freunden ist dies völlig ausreichend. Von der Verschlüsselung her, sind diese den "richtigen" Zertifikaten (fast) ebenbürtig. Und um ganz sicher zu gehen, kann man sich ja vom Mailpartner 1x den Fingerprint am Telefon vorlesen lassen.

MfG Peter