Verschlüsselung über Domänenzertifikat

    Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version 78.3.0 (32-Bit)
    • Windows 10 Pro; 32 Bit; latest Patch-Level
    • Kontenart (POP / IMAP): pop3/smtp
    • Postfachanbieter (z.B. GMX): Strato
    • Eingesetzte Antivirensoftware: Windows Defender
    • Firewall (Betriebssystem-intern/Externe Software): Windows-Firewall

    Hallo,

    ich versuche mittels eines Domänenzertifikats (https://www.lwv-hessen.de/schnelleinstie…schluessel.html) eine Email an die dortigen Mitarbeiter zu senden. Das Verschlüsseln an andere Empfänger mit Einzelzertifikaten klappt ohne Probleme, nur an Empfänger des LWV-Hessen erhalte ich die Meldung:

    Senden der Nachricht fehlgeschlagen.

    Sie haben ausgewählt, diese Nachricht zu verschlüsseln, aber die Anwendung konnte kein Verschlüsselungszertifikat für xxxxx@lwv-hessen.de finden.

    Habe dem Root-CA das Vertrauen erteilt, das öffentliche Zertifikat installiert (wird auch beides angezeigt), und wie gesagt, sonst klappt es auch mit Verschlüsselung.

    Hab ich da einen Denkfehler? Ist das ein Bug? Ist der Cert der Gegenstelle ungeeignet?

    Danke für Hinweise! :)


    PS: Wenn es jemand mal testen mag: Es reicht ja, eine Testnachricht an eine beliebige Adresse mit entsprechender Domain in Entwürfe speichern zu wollen, auch dann meckert er schon über ein fehlendes Zertifikat...

    Einmal editiert, zuletzt von Forest-Fairy (25. September 2020 um 13:48)

  • graba 25. September 2020 um 10:36

    Hat das Thema freigeschaltet.

    Hallo Forest-Fairy,

    mein Thunderbird meckert in der Zertifikatverwaltung unter Zertifizierungsstellen, daß das Stammzertifikat nicht verifiziert werden kann, weil der Signaturalgorithmus zu alt ist. Und bei einem Blick in die Details kann ich es auch verstehen. Da steht unter Zertifikatsunterzeichnungs-Algorithmus: PKCS #1 MD5 mit RSA-Verschlüsselung. Das scheint selbst für Stammzertifikate zu alt zu sein. Auch das SHA-1 vom Domänenzertifikat selbst scheint Thunderbird nicht mehr zu akzeptieren.

    Da hilft wohl nur Telefon oder Fax ;-)

    Viele Grüße

    SSL-Mailer

    Hallo SSL-Mailer und Danke für die Rückmeldung!

    Interessant, dass es bei dir auch nicht geht, aber die Fehlermeldung eine andere ist...

    Mhh... Vielleicht ist Fax doch gar nicht so schlecht...

    Würde mich über weitere Rückmeldungen freuen (wie geschrieben, es reicht eine Phantasieadresse mit der Endung @lwv-hessen.de und diese als Entwurf abzuspeichern).

    Kurze Google-Recherche bestätigt auch, dass MD5/RSA als unsicher gilt, aber theoretisch noch unterstützt wird laut https://tools.ietf.org/html/rfc8551 :lupe:

    lg

    Hallo Forest-Fairy,

    ich glaube nicht, daß die Fehlermeldung bei mir eine andere wäre. Du hast versucht, eine Mail zu schicken, ich habe mir nur die Zertifikate angeschaut. Und wenn mein Tb. 68 die Zertifikate als nicht verifizierbar bezeichnet, wird es dein Tb. 78 erst recht tun.

    Auch Google kann nicht weiterhelfen, wenn Tb. diese alten Dinger explizit nicht mehr unterstützt. Weitere Versuche könnten höchstens mit veralteten Thunderbird-Versionen erfolgreich sein.

    Sie bieten dann noch PGP an, aber auch mit einem sehr alten Schlüssel...

    Gruß

    SSL-Mailer

  • Community-Bot 3. September 2024 um 20:40

    Hat das Thema geschlossen.