Beiträge von hviridis

  • [SOLVED] Sending of the message failed: Sie haben ausgewählt, diese Nachricht digital zu unterschreiben, aber...

    Abstract:

    Under Account Settings End-to-End Encryption has been configured. On sending a mail a dialog with title "Send Message Error" appears.

    This thread is the English version of the thread "[SOLVED] Senden der Nachricht ist fehlgeschlagen: Sie haben ausgewählt, diese Nachricht digital zu unterschreiben, aber...". The supplied screenshots show Thunderbird front-end with German localization settings.


    Description of the problem:

    The dialog shows the following message:

    Zitat

    Sending of the message failed. You specified that this message should be digitally signed, but the application either failed to find the signing certificate specified in your Mail & Newsgroup Account Settings, or the certificate has expired.

    The user can close the windows by confirmation via "OK" button or with the close button from window decorations.

    Unfortunately, the error message does not reveal the detailed criterion why the pre-configured certificate cannot be used to sign the message.

    It would be desirable for Thunderbird mail client to check all prerequisites already on the selection of the certificate in the Account Settings.


    Account Settings:

    Under Account Settings - End-to-End Encryption - S/MIME the user can configure the user certificate by clicking on "Select..." button next to the input fields "Personal certificate for digital signing" and "Personal certificate for encryption".

    In my case exactly one certificate can be selected: "Importiertes Zertifikat #4 [00:B0:...]".

    On confirmation of the "Select Certificate" window the field is filled with "<certificate name> [<serial number of cert.>]".

    After the above error has occurred there is no serial number specified with the input fields "Personal certificate for digital signing" and "Personal certificate for encryption". However, the user can repeat the certificate selection as described above.

    By clicking on "Manage S/MIME Certificates" the user can open the "Certificate Manager".

    By default the windows takes about half the height and half the width of the display. To show complete column values and user-friendly navigation in the "Authorities" tab the user can resize the windows using the handler in the bottom right corner. In the "Your certificates" tab the user can check the expiration date of the user certificate. A click on "View..." reveals the certificate details.

    In my case the reason for the error was that the corresponding certificate of the root CA was missing. The error message also occurs if "This certificate can identify mail users." from CA certificate trust settings has not been enabled.

    If those requirements are met the signing CA certificates will be displayed with the user certificate details. If that is not the case there is no information on the incomplete or invalid certificate chain.


    Feature Request:

    1. Currently "Certificate Manager" is displayed as an overlaying window (pop-up window). I propose to move this information to a separate tab "Certificate Manager" in Thunderbird.

    2. In order to enable users to easily locate errors with S/MIME certificates Thunderbird may provide a filter within "Select Certificate" window. By default all necessary criteria would be enabled but the user can disabled certain criteria. By this it should be possible to gradually expand the list of certificates from NSS certificate database (see image attached).

    Certificates not matching all of the required should be display with gray color. If the user selects such a non-valid certificate "OK" button should be disabled (greyed out).


    Environment:

    Thunderbird version: 78.12.0 (32-Bit)

    operation system: Windows 10 Home, Version 20H2, Build 19042.985

    mail account protocol: IMAP

    mail provider: office365.com

    Antivirus: Microsoft Viren- & Bedrohungsschutz (native from os)

    Firewall: native from os

  • [SOLVED] Senden der Nachricht ist fehlgeschlagen: Sie haben ausgewählt, diese Nachricht digital zu unterschreiben, aber...

    Zusammenfassung:

    In den Kontoeinstellungen wurde die Ende-zu-Ende-Verschlüsselung konfiguriert. Beim Senden der Nachricht erscheint ein Dialogfenster mit dem Titel "Senden der Nachricht ist fehlgeschlagen".


    Problembeschreibung:

    Das Dialogfenster zeigt die folgende Fehlermeldung:

    Zitat

    Senden der Nachricht ist fehlgeschlagen: Sie haben ausgewählt, diese Nachricht digital zu unterschreiben, aber die Anwendung konnte das Unterschriftszertifikat nicht finden, das sie in ihren Kontoeinstellungen angegeben haben, oder das Zertifikat ist abgelaufen.

    Der Nutzer kann das Dialogfenster per Klick auf Schließen (Kreuz oben rechts) oder auf den Button "OK" beenden.

    Ungünstig bei dieser Fehlermeldung ist, dass der Grund, weshalb das voreingestellte Zertifikat nicht akzeptiert wird, nicht genauer spezifiziert wird.

    Wünschenswert wäre, dass alle notwendigen Voraussetzungen bereits in dem Auswahlfenster in den Kontoeinstellungen geprüft werden.


    Vorgenommene Kontoeinstellungen:

    In den Kontoeinstellungen lässt sich unter "Ende-zu-Ende-Verschlüsselung" im Abschnitt "S/MIME" für die Felder "Persönliches Zertifikat für digitale Unterschrift" sowie "Persönliches Zertifikat für Verschlüsselung" über den Button "Auswählen..." ein Zertifikat selektieren.

    Dort wird in meinem Fall genau ein Zertifikat zur Auswahl angeboten: "NSS Certifikate DB:Importiertes Zertifikat #4 [00:B0:...]".

    Bei Bestätigung des Auswahlfensters wird in das jeweilige Feld der Text "<Name> [<Serial>]", also der Zertifikatsname (common name; z.B. vollständiger Name der Person, auf den das Zertifikat ausgestellt ist) und die Seriennummer des Zertifikats eingetragen.

    Nachdem das Senden der Nachricht fehlgeschlagen ist, fehlt in den Feldern "Persönliches Zertifikat für digitale Unterschrift" und "Persönliches Zertifikat für Verschlüsselung" die Angabe der Seriennummer hinter dem Namen. Über den Button "Auswählen..." lässt sich das Zertifikat mit Seriennummer erneut eintragen.

    Aus dem Konfigurationsfenster der Ende-zu-Ende-Verschlüsselung gelangt der Nutzer über den Button "S/MIME-Zertifikate verwalten" zu dem Fenster "Zertifikatverwaltung".

    Das Fenster nimmt zunächst etwa die Hälfte der Breite und Höhe des Displays ein. Damit die Angaben in den Spalten vollständig dargestellt werden und die lange Liste im Reiter "Zertifizierungsstellen" gut lesbar ist, kann der Nutzer das Fenster über einen Handler unten rechts größer ziehen. In der Zertifikatverwaltung kann der Nutzer Zertifikatssname und Seriennummer heraussuchen und in der Spalte "Gültig bis" das Ablaufdatum prüfen. Über einen entsprechenden Button (oder per Doppelklick) lassen sich die Details zu dem Zertifikat und ggf. der Zertifikatskette einsehen.

    Im meinem Fall stellte sich schließlich heraus, dass das zugehörige Zertifikat der Root-CA nicht installiert war. Der Fehler tritt ebenfalls auf, wenn in den CA-Zertifikatsvertrauenseinstellungen die Option "Dieses Zertifikat kann Mail-Benutzer identifizieren." nicht angehakt wurde.

    Bei den Details zu dem Zertifikat (Titel "Zertifikat für <Zertifikatsname>") wird das übergeordnete Zertifikat als zusätzlicher Reiter angezeigt, sofern das Zertifikat importiert wurde und "Dieses Zertifikat kann Mail-Benutzer identifizieren." ausgewählt wurde. Wenn dies nicht der Fall ist, erscheint kein Hinweis auf die unvollständige/ungültige Zertifikatskette.

    Aus der mitunter schwierigen Fehleranalyse ergibt sich folgender Vorschlag bzw. Feature Request.


    Feature Request:

    1. Das Fenster "Zertifikatverwaltung" wird derzeit als Popup in dem Reiter Kontoeinstellungen dargestellt. Die Informationen sollten einen eigenen Reiter "Zertifikatverwaltung" bekommen und in der Größe des Fensters der Hauptanwendung dargestellt werden. Alternativ kann in der Titelleiste die Funktion Maximieren (oder "als Reiter anheften/anpinnen") integriert werden.

    2. Um im Fehlerfall besser eingrenzen können, warum Kontodefinition, Systemdatum und Zertifikat nicht zusammenpassen (Tippfehler in der E-Mail-Adresse u.v.m.), könnten die Thunderbird-Entwickler eine Filterfunktion im Auswahldialog anbieten. Diese soll den Anwendern die Möglichkeit geben, die Liste der dargestellten Zertifikate zu erweitern, in dem die vorausgewählten Kriterien deselektiert werden können (siehe Abbildung im Anhang).

    Die anderen Zertifikate könnten in grauem Font dargestellt werden. Sofern ein solches Zertifikat ausgewählt, sollte der Button "OK" für das Dialogfenster ausgegraut werden. Eine beispielhafte Abbildung der Filtereinstellungen befindet sich im Anhang.


    Anwendungsumgebung:

    Thunderbird-Version: 78.12.0 (32-Bit)

    Betriebssystem: Windows 10 Home, Version 20H2, Build 19042.985

    Kontenart: IMAP

    Postfachanbieter: office365.com

    Eingesetzte Antivirensoftware: Microsoft Viren- & Bedrohungsschutz

    Firewall: betriebssystem-intern