Beiträge von business-it-kooper

Hallo,

Danke für den Tool Tipp zu XCA, werde ich als Alternative für Windows anführen
Yast-CA Manager unter Suse ist gleichwertig und schon "on-Board". Templates gibt es da auch. Für andere Distris sicher interessant. Werde mal die Kubuntu Live CD danach absuchen, denn TinyCA ist nicht mehr drauf ...

Zu deiner Empfehlung bezüglich Root CA muss ich aber widersprechen - sollte man meinen, aber TB3 schafft es leider nicht. Deshalb weise ich hier wieder mal darauf hin !

Ich habe natürlich ein passendes Root-CA mit dem Yast-CA Manager erstellt, aus dem die Clientzertifikate erzeugt wurden. Die Installation aller Zertifikate wurde auch grob für die User beschrieben mit Verweis auf diverse Foren*). Das hat wie gesagt nicht gereicht.

Ich halte es für ein TB3 Bug weil die Chain für selbst ausgestellte Zertifikate einfach nicht berücksichtigt wird ... und die sind ok, weil sie in anderen Anwendungen (Adobe Acrobat) funktionieren. Ist leider nix neues in der Mozillafamilie - gilt natürlich auch für Firefox 3.0.x ...

Trotz eingestelltes Vertrauen in das (selbst ausgestellte) Root-CA muss zusätzlich jedes davon abgeleitete Clientzertifikat im TB3 auf diese umständliche Weise freigeschalten werden. Kann die Zertifikate gern zum Testen weitergeben ...

Nachtrag: Bitte um Verständnis wenn ich mich nicht um die Bug-Historie der TB Versionen kümmere. Ein Einsteiger hier will etwas über die aktuelle Version erfahren, unabhängig davon seit wann es ein Bug gibt.

lg Christian
____
*)Leider unterstützt TB3 kein p7c Format um Root und Client Zertifikate auf einmal zu installieren ... oder gibt es da ein passendes Format?

Hallo,

Danke für den Hinweis - habe die Formulierung verbessert. Für Einsteiger bzw. im Trainingsumfeld tauchen leider häufig solche Fragen auf, die für erfahrene Benutzer (in einer bestimmten Technologie ) so selbstverständlich sind dass sie niemand erwähnt.

Woher soll ein Einsteiger wissen was bei TB2 -> TB3 und den benötigten Add ons genau geändert wurde und was davon überhaupt gebraucht wird ? Im Web gibt es unzählige veraltete Anleitungen zu TB2. Auch in diesem forum ist bei den besten Howtos wegen alter Screenshots und fehlender Versionierung nicht klar ob das Gesagt für TB3 auch noch gilt.

In den einschlägigen Foren haben meine Kunden (nach eigenen Angaben ) keinen Hinweis gefunden ob Thunderbird 3 überhaupt noch Enigmail benötigt - andere versuchen vergeblich OpenPGP in TB zu aktivieren das sie dafür eigentlich gar nicht brauchen (aber wenn das überall steht probieren sie es halt ....). Ich kann hier auf die Schnelle auch nichts Klares zu diesen Fragen finden da die meisten Posts aus TB2 Zeiten stammen. Die Infos hier richten sich mehr an die die es eh wissen (müssen) .

Noch schlimmer ist z.B. die österreichische eGov- Landschaft und die unzähligen und unseeligen Anleitungen der diversen Lieferanten (Es gibt z.Z. 4 Bürgerkartenumgebungen!) ... damit verschwenden Interessierte Wochen und am Ende geht es oft trotzdem nicht. Weiss nicht ob das in Deutschland / Schweiz besser gelöst ist. Wenn ich Zeit habe poste ich ein Howto das auch den portablen TB3.x berücksichtigt ...

S/MIME ist deshalb noch nicht reif für den Einsatz als "Alltagstechnologie" - eigentlich nur wegen solchen Kleinigkeiten - . OpenPGP bietet wenigstens unter Windows ein GUI für selbstsignierte RootCA - für SMIME kenne ich nur Linuxtools (ich hab privat nur OpenSuse ... aber das hilft meinen Kunden nix). Eigentlich wäre eine taiwanesische Videorekorderanleitung viel komplizierter als verschlüsselte Mails mit TB2/3, aber Videorekorder haben sich durchgesetzt.
___
PS: Thunderbird 3 enthält möglicherweise Enigmail code. Die Addon Suchmaschine meldet schon vor der Installation das es installiert ist?

PPS: Es wundert mich deshalb nicht dass es trotz der tollen Anleitungen hier von 6 Durchschnittsusern keiner S/MIME verschlüsselten Mailverkehr geschafft hat obwohl ich neben diesem Forum noch eine Menge guter Links und alle notwendigen Zertifikate zur Verfügung gestellt hatte.

Thunderbird 3.x bietet S/MIME Verschlüsselung und Signatur ohne das optionale Add-on Enigmail.

Nur wer GnuPG bzw. OpenPGP nutzen möchte sollte diese Erweiterungen installieren, und zusätzlich im Thunderbird das Enigmail Add-On herunterladen. Nur wenn das Add-on installiert ist werden an diversen Stellen im Thunderbrid 3.x GUI die passenden GnuPG Optionen sichtbar.

lg Christian
_______________
Hinweis für Einsteiger: OpenPGP/GnuPG ist eine alternative Sicherheitstechnologie - in der Handhabung etwas komplexerer und nicht für die qualifizierte Signatur geeigent (die rechtlich einer Unterschrift gleichgestellt ist). Privatbenutzer kommen deshalb ganz gut mit S/MIME und ohne Enigmail aus (zumindest wenn keiner der Mailpartner GP benutzt) .

Thunderbird 3.0* Bug Workaround: Bestätigung von S/MIME Personenzertifikaten

Wie in diversen Posts nebenbei erwähnt wurde gibt es im Thunderbird 3.0* ein unangenehmes Bug beim Import von S/MIME Client / Personenzertifikaten, das viele Neueinsteiger davon abhält verschluesselte Mails zu benutzen. Diese Bug betrifft möglicherweise nur selbst signierte RootCAs*) - denn beglaubigten Zertifikaten wird automatisch vertraut.

Problem: Nach dem Import und Bestätigen des Stammzertifikats (3x Häckchen beim Vertrauen) können zugehörige S/MIME Client / Personenzertifikate für den verschlüsselten Mailverkehr mit diesen Personen nicht ohne weiteres bestätigt werden. Spricht man händisch das Vertrauen aus verschwindet das Zertifikat nach dem nächsten Öffnen des Fensters aus dem Reiter "Personen" und taucht dafür unter "Server" auf.

Es wurde an andere Stelle erwähnt dass die verschobenen Zertifikate trotzdem funktionieren :eek:

Das stimmt, allerdings muss man dazu für die (fälschlicherweise) verschobenen Zertifikate das Vertrauen ein ZWEITES MAL im Reiter "Server" bestätigen

Dann klappt es. Nicht gerade Einsteiger freundlich, aber wenn man es weiss keine grosse Hürde.
In Summe deutlich komfortabler als OpenPG - wegen Bugs wie diesem aber nur fast alltagstauglich.

lg Christian
___
PS: Ich gebe IT Trainings ... da sind solche "Features" keine Freude ...

*) Ich benutze zur Zertifikatserstellung z.B das komfortable grafische CA-Tool von Yast unter OpenSuse (mit Live CD auch unter Windows nutzbar). Es gibt scheinbar kein grafische Tool für Windows, und unter Linux nur das angestaubte TinyCA. Dagegen ist der Yast -CA Manager echter Luxus. Unter Suse ist natürlich auch Kleopatra und OpenSSH verfügbar.