Zusammenfassung:
In den Kontoeinstellungen wurde die Ende-zu-Ende-Verschlüsselung konfiguriert. Beim Senden der Nachricht erscheint ein Dialogfenster mit dem Titel "Senden der Nachricht ist fehlgeschlagen".
Problembeschreibung:
Das Dialogfenster zeigt die folgende Fehlermeldung:
Senden der Nachricht ist fehlgeschlagen: Sie haben ausgewählt, diese Nachricht digital zu unterschreiben, aber die Anwendung konnte das Unterschriftszertifikat nicht finden, das sie in ihren Kontoeinstellungen angegeben haben, oder das Zertifikat ist abgelaufen.
Der Nutzer kann das Dialogfenster per Klick auf Schließen (Kreuz oben rechts) oder auf den Button "OK" beenden.
Ungünstig bei dieser Fehlermeldung ist, dass der Grund, weshalb das voreingestellte Zertifikat nicht akzeptiert wird, nicht genauer spezifiziert wird.
Wünschenswert wäre, dass alle notwendigen Voraussetzungen bereits in dem Auswahlfenster in den Kontoeinstellungen geprüft werden.
Vorgenommene Kontoeinstellungen:
In den Kontoeinstellungen lässt sich unter "Ende-zu-Ende-Verschlüsselung" im Abschnitt "S/MIME" für die Felder "Persönliches Zertifikat für digitale Unterschrift" sowie "Persönliches Zertifikat für Verschlüsselung" über den Button "Auswählen..." ein Zertifikat selektieren.
Dort wird in meinem Fall genau ein Zertifikat zur Auswahl angeboten: "NSS Certifikate DB:Importiertes Zertifikat #4 [00:B0:...]".
Bei Bestätigung des Auswahlfensters wird in das jeweilige Feld der Text "<Name> [<Serial>]", also der Zertifikatsname (common name; z.B. vollständiger Name der Person, auf den das Zertifikat ausgestellt ist) und die Seriennummer des Zertifikats eingetragen.
Nachdem das Senden der Nachricht fehlgeschlagen ist, fehlt in den Feldern "Persönliches Zertifikat für digitale Unterschrift" und "Persönliches Zertifikat für Verschlüsselung" die Angabe der Seriennummer hinter dem Namen. Über den Button "Auswählen..." lässt sich das Zertifikat mit Seriennummer erneut eintragen.
Aus dem Konfigurationsfenster der Ende-zu-Ende-Verschlüsselung gelangt der Nutzer über den Button "S/MIME-Zertifikate verwalten" zu dem Fenster "Zertifikatverwaltung".
Das Fenster nimmt zunächst etwa die Hälfte der Breite und Höhe des Displays ein. Damit die Angaben in den Spalten vollständig dargestellt werden und die lange Liste im Reiter "Zertifizierungsstellen" gut lesbar ist, kann der Nutzer das Fenster über einen Handler unten rechts größer ziehen. In der Zertifikatverwaltung kann der Nutzer Zertifikatssname und Seriennummer heraussuchen und in der Spalte "Gültig bis" das Ablaufdatum prüfen. Über einen entsprechenden Button (oder per Doppelklick) lassen sich die Details zu dem Zertifikat und ggf. der Zertifikatskette einsehen.
Im meinem Fall stellte sich schließlich heraus, dass das zugehörige Zertifikat der Root-CA nicht installiert war. Der Fehler tritt ebenfalls auf, wenn in den CA-Zertifikatsvertrauenseinstellungen die Option "Dieses Zertifikat kann Mail-Benutzer identifizieren." nicht angehakt wurde.
Bei den Details zu dem Zertifikat (Titel "Zertifikat für <Zertifikatsname>") wird das übergeordnete Zertifikat als zusätzlicher Reiter angezeigt, sofern das Zertifikat importiert wurde und "Dieses Zertifikat kann Mail-Benutzer identifizieren." ausgewählt wurde. Wenn dies nicht der Fall ist, erscheint kein Hinweis auf die unvollständige/ungültige Zertifikatskette.
Aus der mitunter schwierigen Fehleranalyse ergibt sich folgender Vorschlag bzw. Feature Request.
Feature Request:
1. Das Fenster "Zertifikatverwaltung" wird derzeit als Popup in dem Reiter Kontoeinstellungen dargestellt. Die Informationen sollten einen eigenen Reiter "Zertifikatverwaltung" bekommen und in der Größe des Fensters der Hauptanwendung dargestellt werden. Alternativ kann in der Titelleiste die Funktion Maximieren (oder "als Reiter anheften/anpinnen") integriert werden.
2. Um im Fehlerfall besser eingrenzen können, warum Kontodefinition, Systemdatum und Zertifikat nicht zusammenpassen (Tippfehler in der E-Mail-Adresse u.v.m.), könnten die Thunderbird-Entwickler eine Filterfunktion im Auswahldialog anbieten. Diese soll den Anwendern die Möglichkeit geben, die Liste der dargestellten Zertifikate zu erweitern, in dem die vorausgewählten Kriterien deselektiert werden können (siehe Abbildung im Anhang).
Die anderen Zertifikate könnten in grauem Font dargestellt werden. Sofern ein solches Zertifikat ausgewählt, sollte der Button "OK" für das Dialogfenster ausgegraut werden. Eine beispielhafte Abbildung der Filtereinstellungen befindet sich im Anhang.
Anwendungsumgebung:
Thunderbird-Version: 78.12.0 (32-Bit)
Betriebssystem: Windows 10 Home, Version 20H2, Build 19042.985
Kontenart: IMAP
Postfachanbieter: office365.com
Eingesetzte Antivirensoftware: Microsoft Viren- & Bedrohungsschutz
Firewall: betriebssystem-intern
