Beiträge von XadoX

Wie immer vielen Dank für deine ausführlichen Erklärungen. OCSP ist für unserem Fall wirklich Overkill mit den CRL's funktioniert es auch sehr gut. Mich hat in erster Linie überhaupt die Funktion interessiert.

Generell stoße ich seit der Einführung eines Zertifikats in meinem Mail Client sowieso auf kein gutes Feedback, alle meine Kontakte fragen mich immer zu "Ich bekomme eine komische Meldung beim öffnen ihrer Mail!" oder können diese aufgrund verschiedenster Sicherheitskonfigurationen garnicht erst öffnen.
Aber egal irgendjemand muss ja anfangen :roll: Von daher bekommen nun alle Mitarbeiter bei uns ein Email Zertifikat welches zum Signieren der Mails verwendet wird.

Hallo,
nach langem Lesen und tüfteln habe ich nun endlich Email-Zertifikate im Einsatz. Um genau zu sein habe ich mir bei CAcert für mein Unternehmen das Organisation-Zertifikat zugelegt.

Funktioniert soweit auch alle so wie es soll. Nun habe ich mich ein wenig genauer in die Materie eingelesen. Interesant finde ich OCSP. In meinem Class 3 Zertifikat ist der URL zum CAcert OCSP-Server mit angegeben.

Wenn ich nun in Thunderbird die Validierung über OCSP aktiviere (falls URL im Zertifikat vorhanden) werden die Zertifikate immer als nicht i.O. markiert obwohl die 100% gültig sind.

Nach etwas genauerer Betrachtung des Zertifikats stellte ich fest das bei der URL Angabe des OCSP Links folgender angegeben ist:

OCSP: URI: http://ocsp.cacert.org

Sollte dort nicht URL stehen anstelle von URI?

Zitat von "Peter_Lehmann"

...mit dem, was du uns an Informationen gibst, ist es natürlich nicht einfach einen Fehler zu suchen ... . Und auch die Bemerkung, "das der Fehler irgendwann mal im Bugtracker von Thunderbird bereits erwähnt wurde", ist auch nicht gerade sehr aufschlussreich. Ich würde sie sogar als unfair bezeichnen. Ich würde da als Provider wenigstens einen Link angeben...

Gerne würde ich nähere Infos dazu Posten, leider sind mir auch keine weiteren Infos bekannt.

Zitat von Nils Dornblut (Domainfactory Forum):
"Direkte Links haben wir diesbezüglich leider nicht. Die Informationen stammten aus dem Bugtracker. Dort hatte sich einige User über dieses Verhalten beschwert."

Leider nein ist das Forum von meinem Email Provider. Wirklich viele Informationen erhält man allerdings auch nicht nur einen Hinweis das der Fehler irgendwann mal im Bugtracker von Thunderbird bereits erwähnt wurde.

So nach einigem Lesen im Forum meines Email Providers stellt sich heraus das dies ein Fehler im Thunderbird zu sein scheint.

Siehe folgende Diskussion:
http://forum.df.eu/forum/showthread.php?t=46327

Seit nun etwas länger als einem Monat bekomme ich bei Versenden von Emails hin und wieder folgende Fehlermeldung, dabei ist es egal ob V1.5 oder V2.0:

http://img412.imageshack.us/my.php?image=errorta0.png

Klicke ich diese weg und versuche anschließend die Email erneut zu versenden klappt dies dann doch.

Meine Emails frage ich über IMAP ab.
IMAP und SMTP gehen über SSL.

Mein Email Provider, meint es liegt definitiv nicht an deren Server.
Hat Thunderbird da irgenwie ein Problem?

Ich muss hinzufügen das dieser Fehler auf 2 weiteren Systemen auftaucht.

Peter_Lehmann:

Ich bin mittlerweile fast ein wenig überschlagen. Kaum hat man angefangen sich mit der Materie zu beschäftigen hört es garnicht mehr auf mit der Informationsflut :lol:

Nach einigem Suchen im Internet habe ich zum Thema profesionelle Zertifikate nun GlobalSign entdeckt, diese bieten ein Jahres Zertifikat Class 2 ab 50€ an. Das ist schon mal ne Ecke Geld.

Wenn ich mich unter Wikipedia richtig informiert habe benötigt man eine "fortgeschrittene Signatur" dann wenn man folgendes möchte:
- Verträge abschließen
- Rechnung erstellen
- Steuererklärung
- Beweiskraft vor Gericht

Verträge, Rechnung und Steuererklärungen interesieren mich relativ wenig. Nur die Beweiskraft vor Gericht wäre noch ein Punkt von Interesse.

Nach der Suche nach Class 2 Zertifikaten bin ich auf CAcert gestossen. Wie sind dazu die Meinungen?

Peter_Lehmann: Vorab... ein großes Dankeschön für all ihre Ausführlichen Antworten :signthanks:

Jaja das mit der sicheren Email ist schon so eine Sache wie ich sehe. Mittlerweile verstehe ich warum nicht schon jeder auf der Welt seine Emails signiert oder gar verschlüsselt.

Ich habe mitlerweile erstmal selber darüber nachgedacht: "Was will ich eigentlich, in Bezug auf Emailversand?"

In erster Linie möchte ich natürlich meine Emails soweit absichern das der eigentliche Empfänger feststellen kann ob diese wirklich von mir sind (Im Privaten wie im Geschäftlichen).
Zweitens wäre da die Kommunikation mit Geschäftskunden die ich gerne verschlüsselt hätte, da es bei diesen Gesprächen um sehr vertrauliche Daten geht.
Der dritte Punkt wäre noch die Rechtliche Seite, das Zertifikat bzw. die Digitale Signatur sollte die rechtlichen Anforderungen erfüllen.

Zitat

... Du kannst deine Schlüsseldate (p12 pfx) in den Browser mit dem blauen "e" importieren und von dort aus den öffentl. Schl. exportieren...

Genauso habe ich es vorerst gelöst

Zitat

..."fortgeschrittene Signatur": Das Trustcenter führt eine Identifizierung der Person durch. Das können sie selbst durchführen (vor Ort), oder durch externe Dienstleister (im "Telefonladen" oder per "Post-Ident" usw.). Durch diese so genannten Registrierung ist sichergestellt, dass die digitale Unterschrift auch wirklich zu dieser Person gehört...

Die wirds dann wohl werden.

Kann man bei Class 2 oder 3 Zertifikaten davon ausgehen das die entsprechenden Zertifizierungstellen bereits in den Mailsystemen vorinstalliert sind?

Was mich generell schon einiges an Überlegungen gekostet hat war die Frage nach dem passenden System. S/MIME oder doch OpenPGP?
Letztendlich habe ich mich für S/MIME entschieden, da dies zumindest schon in Outlook bzw. Thunderbird fest verankert ist. Ich erhoffe mir dadurch eine vereinfachte Integration mit meinem Bekanntenkreis.

Ein paar Fragen habe ich da auch noch...

Wenn ich das Zertifikat nun aus irgendwelchen Gründen exportieren möchte und an meinen Bekannten über USB Stick geben möchte, wie stelle ich das an?

Im Thunderbird bekomme ich nur die Backup Funktion angeboten, keinen explizieten Export. Die Backup Funktionen sichert ja dann alles mit auch meinen Persönlichen Schlüssel oder nicht:

Wie sicher ist das ganze mit den Zertifikaten für Lau? Empfiehlt es sich eventuell sogar eher eines zu kaufen. Wenn ja welche Aussteller sind zu empfehlen.

Ok.

Ich habe im Thunderbird nun ein Master Passwort festgelegt.

Nun muss ich bei jedem Start von Thunderbird mein Masterpasswort eintragen. Wenn ich es nun richtig verstanden habe meldet Thunderbird das Kryptographie Modul mithilfe des Masterpassworts auch an. Zumindest steht im Kryptographie Tool Status nun das ich eingeloggt bin.

Soweit sollte alles richtig konfiguiert sein.

Können meine Email Kontakte mein Zertifikat aus der Mail entnehmen oder muss ich mein Zertifikat aus Thunderbird exportieren und meinen Bekannen auf dem Postweg zukommen lassen?
_______
Sie haben Recht zum Import des Zertifikates musste ich das Passwort eintragen.

Zum Thema FIPS half wie von ihnen erwähnt die Forensuche!

Hallo,

aufgrund eines Artikels bei Tomshardware habe ich mir nun über das TrustCenter ein konstenloses Zertifikat besorgt.

Nach all dem Anmeldungsprozedere habe ich es aus dem Firefox exportiert bekommen und im Thunderbird importiert. Das passende Class 1 Zertifikat von TrustCenter habe ich auch gleich mit Importiert.

Nun wollte ich mal eine Testmail versenden die erstmal nur signiert sein soll.

In der Testmail habe ich dann markiert das er die mail nur signieren soll und auf senden geklickt. Und weg war Sie. Ist das alles was ich dabei tun sollte? Muss ich nicht irgenwann mal das Passwort eintragen, welches ich beim erstellen des Zertifikates angegeben habe.

Nebenbei:
Was bewirkt die Aktivierung von FIPS im Kryptograpie Modul Manager?