Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
- Thunderbird-Version: 68.1
- Betriebssystem + Version: Windows 7
- Kontenart (POP / IMAP): beides
- Postfachanbieter (z.B. GMX): T-Online und andere
- Eingesetzte Antivirensoftware: Avira
- Firewall (Betriebssystem-intern/Externe Software):
Nachdem ich einige Probleme mit der Installation von kostenlosen Zertifikaten (Wisekey) im Thunderbird hatte, war ich neugierig und habe das genau untersucht.
Und zwar in einem neuen extra Profil - Enigmail/Einstellungen und eventuelle Konkurrenz von GPG sowie von alten Zertifikatsresten war also ausgeschlossen.
Habe das mir zugesandte Zertifikat (eine P12-Datei) installiert, er zeigt mir mich und auch den Aussteller an (das klappt nicht immer.
Manchmal fehlt das Root, manchmal auch nur der Aussteller, daher habe ich mir die entsprechenden Crt auch alle bereitgelegt).
Ich habe das Email-Konto neu angelegt und bei S/Mime "mein" Zertifikat auswählen können (als CN steht da nur die Email-Adresse, es ist Klasse 1 aber egal).
Schon (standardmäßig verschlüsseltes - das kann ich ohne Enigmail nicht ausschalten) Speichern schlägt fehl, Senden geht auch nicht.
Mein zur Signierung benötigtes Zertifkat wäre nicht vorhanden oder abgelaufen.
Aha. Ich schaue mir den Aussteller an - okay, ich muß die Häkchen setzen. Bei implizitem Importieren aus meiner P12 heraus setzt er das nicht.
Bei Importieren der Crt des Ausstellers würde man gefragt und konnte die gleich setzen.
Ich probiere wieder zu signieren - die gleiche Fehlermeldung.
Naja. Ich habe einen Verdacht, und leere bei dem Email-Account das Zertiikat und weise es neu zu.
Ich probiere wieder zu signieren - die gleiche Fehlermeldung.
OK. Nochmal leeren. Raus gehen aus den Einstellungen für das Konto und nachschauen. Kein S/MIME möglich. Mail geht so raus.
Wieder zuweisen, dabei die Überraschung: der Eintrag war nicht leer sondern da stand alter Inhalt drin.
Noch ein drittes Mail zuweisen. Nachschauen, Aussteller hat die Häkchen,
Senden - die gleiche Fehlermeldung.
Hm..... Das gleiche Zertifikat hatte 3 Tage vorher an einem anderen Rechner funktioniert.
Wieder wie damals alles löschen. Anders herum importieren;
Erst den Aussteller aus der Crt. Dann Häkchen setzen, meine P12 importieren und beim Email-Account zuweisen. "jetzt aber" 
Und siehe da, es geht.
Da scheint eine merkwürdige Caching-Geschichte mit dem Zertifikatsspeicher zu sein. Der greift nicht auf die zugewiesenen Werte zu, sondern auf seinen Cache.
Er fragt auch nicht erneut den Aussteller ab, sondern beharrt auf der ersten, anscheinend nicht gültigen gecacheten Version, obwohl ich es nachher 3x korrigiert (die Häkchen) und neu zugewiesen habe. Das ist gruslig.
Zumal ich es dann mit einem anderen Anbieter, dessen Root auch nicht im TB drin war und als dritten Fall mit einer eigenen Root (im xca gebaut) probiert habe.
Jedes Mal, wenn ich zuerst dem Email-Konto zuerst das Zertifikat zugewiesen habe, und das aus .... Gründen nicht ok war, zB Häkchen beim Aussteller fehlen - geht das ganze nicht mehr und läßt sich auch nicht im Nachhinein reparieren.
Es muß anscheinend erst das Root gültig da sein, bevor ich das einzelne Zertikat zuweise und dann cached er das für immer.
Ich könnte jetzt noch Masochist sein, und die Häkchen beim Aussteller mal probeweise wegnehmen und schauen, ob der trotzdem signiert - aber ich habe genug davon 
