Dieses Zertifikat kann nicht verifiziert werden ... (Zertifikat des Empfängers, nicht des Senders)

Servus Franz,

Zitat von franz2016

Dazu habe ich das SMIME-Zertifikat des Empfängers erhalten, aber kein Zertifikat für die CA (ist eine behördeneigene und somit nicht vertraut).

Da hast es schon richtig erkannt. Du benötigst zusätzlich das Zertifikat der CA. Dieses musst Du als Zertifizierungsstelle importieren und ihm das Vertrauen aussprechen. Wenn Du die CA kennst, schau auf deren Seiten. Andernfalls frag bei der Behörde nach.

Gruß

Susanne

Servus Franz,

ich bin fast ein wenig erschüttert, dass eine Behörde nicht die Möglichkeit einräumt, die Echtheit des Zertifikats zu überprüfen. Ich könnte das bei Privatpersonen verstehen, die sich persönlich kennen. Aber bei einer Behörde? Ich vermute, die Leute, mit denen Du in Kontakt warst, wissen es einfach nicht besser.

Zitat von franz2016

Auch bei Thunderbird glaube ich mich erinner zu können, dass es früher die Möglichkeit gab, solche Zertifikate zu importieren ...

Ich weiß nicht, ob es diese Möglichkeit gab. Ich habe zu den wenigen Zertifikaten von Personen auch jeweils die der CAs. Ich wüsste ad hoc keine Möglichkeit, ein Zertifikat zu importieren, dessen CA unbekannt ist bzw. der nicht vertraut wird.
Ob andere Mailclients das erlauben, entzieht sich ebenfalls meiner Kenntnis. Falls Du ein Outlook greifbar hast, kannst Du es ja einmal ausprobieren.

Nun wird die Behörde dieses Zertifikat sicher nicht nur dazu benutzen, dass Du E-Mails an die Behörde verschlüsseln kannst, sondern auch dazu, dass Du von dieser Behörde signierte E-Mails empfangen kannst. Ohne eine vertrauenswürdige CA ist das ziemlich sinnlos. Umgekehrt wird die Behörde doch auch keine Signatur anerkennen, die SusiTux selbst erstellt und beglaubigt hat.

Ich vermute deshalb, dass es bei dieser Behörde schon jemanden gibt, der sich auskennt und der Dir das Zertifikat der CA zu Verfügung stellen kann. Vielleicht liegt es sogar auf deren Webseite. Du bist wohl nur an jemanden geraten, der mit Deiner Anfrage überfordert war.

Gruß

Susanne

Hallo Volker,

das ist mir neu. Wie machst Du das? Das Zertifikat einer Person enthält doch nur die Signatur der CA und nicht das Stammzertifikat.(?)

Gruß

Susanne

Hallo Volker,

Zitat von Volker_

Liegt eine E-Mail vor, die vom Absender digital signiert ist (S/MIME digital signiert), dann kann das Signaturzertifikat [...]zum Verschlüsseln verwendet werden.

Das funktioniert ähnlich einfach auch im TB, wenn die CA bereits bekannt ist und ihr vertraut wird.

Zitat von Volker_

Das Stammzertifikat kann angezeigt und in eine Datei (.cer), Base-64-codiert, kopiert werden.

Kann es sein, dass dieses Stammzertifikat bereits vorhanden war? Der TB bringt ja ebenfalls einen ganze Reihe bekannter CAs mit.

Gruß

Susanne

Zitat von Volker_

i.d.R. wird mit dem Signaturzertifikat die ganze Kette bis zum Stammzertifikat mitgeliefert, ...

Sollte das stimmen, wäre mir das neu. Meines Wissens ist der Aussteller selbstverständlich aufgeführt, aber ohne dass das "Stammzertifikat" dabei wäre.

Hast Du das OE noch noch verfügbar und würdest Du einen Test durchführen? Ich könnte Dir eine signierte E-Mail senden, dessen CA mit Sicherheit noch nicht im OE vorhanden ist. Du müsstest mit dann eine verschlüsselte E-Mail senden können.

Nachtrag:
Ich bin zwar eigentlich schon so gut wie auf dem Heimweg, aber das will mir jetzt doch keine Ruhe lassen.

Es ist funktioniert doch so, dass die Echtheit des Zertifikats einer Person durch die Signatur des Ausstellers bestätigt wird.
Dass nun nun auch die Signatur dieses Ausstellers korrekt ist, wird durch den öffentlichen Schlüssel des Ausstellers überprüft. Dieser ist wiederum Teil eines Zertifikats mit der Signatur eines Ausstellers. So geht es weiter, bis hinauf zur Root-CA als der obersten Zertifizierungsstelle.
Wäre nun alle die Zertifikate in dem einem Zertifikat der Person enthalten würde das dem Prinzip doch komplett widersprechen.

Also, ich glaube das erst, wenn ich sehe.

Hallo Volker,

ich habe gestern Abend noch ein Zertifikat erstellt. Wie erwartet enthält es kein "Stammzertifikat" sondern lediglich die Angaben zum Herausgeber und dessen Unterschrift. Siehe selbst:

Susi@Tux:~/xca$ openssl x509 -in Test.crt -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 3 (0x3)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=DE, ST=--, L=--, O=for testing only, OU=--, CN=--/emailAddress=Susi...@...
        Validity
            Not Before: Apr 28 18:31:00 2016 GMT
            Not After : Apr 28 18:31:00 2018 GMT
        Subject: emailAddress=Test@test.de
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (4096 bit)
                Modulus:
                    00:c2:86:7f:9d:50:4c:10:58:ae:f4:3a:a8:30:46:
                    [...]
                    31:39:47
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Subject Key Identifier: 
                4E:DF:23:...
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment, Data Encipherment
            Netscape Cert Type: 
                SSL Client, S/MIME
            Netscape Comment: 
                xca certificate
    Signature Algorithm: sha1WithRSAEncryption
         71:68:bc: [...]
         3d:c2:03:d8:33:7e:be:12

Somit lässt sich daraus auch kein Zertifikat der CA extrahieren. Ich vermute deshalb nach wie vor, dass es in Deinem Fall entweder bereits vorhanden war, oder dass Du diese Möglichkeit benutzt hast:

Zitat von Volker_

Übrigends handhabt Outlook Express den Vertrauensstatus nicht so streng wie Thunderbird. Das Signaturzertifikat kann auch explizit im Adressbuch als vertrauenswürdig eingestuft werden, ohne dass das Stammzertifikat importiert werden muss.

Das wäre ja auch der Wunsch von Franz. Meines Wissens lässt der TB hier aber nicht mit sich reden und bleibt streng. Kein vertrautes Zertifikat des Ausstellers - kein Import eines Zertifikats, das von diesem ausgestellt wurde.

Man kann sicher darüber streiten, ob diese Strenge notwendig ist. Im privaten Umfeld sehe ich das auch etwas entspannter. Bei einer Behörde, also einem amtlichen Akt, würde ich aber einen anderen Maßstab anlegen.
Ich halte es nicht für angebracht, dass eine Behörde ein Zertifikat zur Verfügung stellt, dessen Echtheit nicht überprüft werden kann.

Gruß

Susanne

Hallo Volker,

ich habe mir inzwischen ein Class-2 Zertifikat eines Kunden angeschaut und auch die Wikipedia bemüht. Unter https://de.wikipedia.org/wiki/X.509 findet sich ein Beispiel für ein X.509-Zertifikat. Beide sehen genauso aus wie meines, d.h. sie enthalten neben den "Verwaltungsangaben" jeweils nur den Public Key und die Signatur des Herausgebers.

Ich kann nicht erklären, weshalb in Deinem Fall das Ausstellerzertifikat enthalten zu sein scheint. Vielleicht hängst es vom Export-Format ab?
Dazu müsste man wohl einen tieferen Blick in RFC 2315 und Co. werfen. Dazu fehlt mir allerdings die Muße. Ich benutze S/MIME noch wesentlich seltener als GnuPG. Und das will was heißen, denn die Zahl meiner Mailpartner, die überhaupt verschlüsseln/signieren ist leider nach wie vor leicht abzählbar. @Peter_Lehmann könnte das wissen. Er ist "eingefleischter" SMIMEr.

Du könntest ja ebenfalls einmal openssl auf Dein *.p7s loslassen.

Gruß

Susanne