Verständnisproblem: Alte verschlüsselte Mails mit neuem Zertifikat entschlüsseln?

Hallo zusammen.

auf Thunderbird-Version etc. verzichte ich hier mal, da ich gar kein Problem im klassischen Sinn habe sondern eher ein Verständnisproblem.

Ich habe viele verschlüsselte Mails und vor kurzem ein neues Zertifikat benötigt, da das Alte abgelaufen war. Ich war direkt irritiert, dass für die alten Mails mein altes Zertifikat weiterhin nötig ist, um diese zu lesen, habe mich damit aber erstmal abgefunden.

Die Frage wurmt mich aber weiterhin aus technischer Sicht:

Warum ist das so? Ich habe den selben CSR und den selben private Key wie für das alte Zertifikat genutzt. Der CSR wurde von der selben CA "gesignt" (mit openssl). Ich hätte erwartet, dass ich mit diesem neuen Zertifikat die alten Mails ebenfalls entschlüsseln kann, da Private Key und CA gleich sind. Warum ist dem nicht so?

Hat da jemand ggf. einen aufschlussreichen Link?

Gruß

Luca

Zitat von Susi to visit

Wenn du den Key eh übernommen hast, aus welchen Grund hast du das Zertifikat dann nicht einfach verlängert?

Mein Stand ist, dass das nicht möglich ist.

Hatte vor einer Weile schon viel dazu recherchiert. Alles was man dazu liest lautet: Geht nicht.
Mit "Geht nicht" meine ist, es besteht keine Möglichkeit, ein bestehendes SSL-Zertifikat zu verlängern. Mit "Verlängerung" ist bei diesem Thema immer das erneute Ausstellen (Signieren des CSR, der vom ursprünglichen privkey erzeugt wurde) gemeint. Genau das habe ich allerdings getan.

Mich wundert das Verhalten in Thunderbird (alte verschlüsselte Mails mit neuem Cert nicht lesen können) weiterhin, da ja der selbe PrivKey und die selbe CA beim alten wie auch beim neuen Zertifikat zugrunde liegen. Ich werde das Ganze mal mit Outlook testen, um einen Fehler in Thunderbird ausschließen zu können.

Interessant! Werde ich mal ausprobieren, ob es dann nicht doch geht.

Danke schonmal