(gelöst) Thunderbird 91.1.xx Nutzung einer Signatur macht digitales Unterschriftszertifikat ungültig

[Blackland]

Ich nutze ein bei Sectigo erworbenes class2-Zertifikat (CPAC pro) für den E-Mailverkehr. Leider kann ich keine Signatur voreingestellt im TB nutzen (weder HTML, noch als Textdatei eingefügt), da beim Empfänger dann die Mail als UNGÜLTIG ankommt, weil nachträglich manipuliert. Im Ordner "gesendete Mails" wird jedoch der Versand mit Signatur "nicht manipuliert gültig" angezeigt.

Lasse ich die Signatur (und Inhalt) komplett weg, ist beim Empfänger alles okay.

Wie kann man eine eigene Signatur im TB nutzen, ohne dass die Unterschrift fälschlicherweise als ungültig erklärt wird??

€: Nur komplett leer, ohne Text, "Betreff" mit Text funktioniert. Sobald Text gesendet wird, erfolgt der Fehler.

 

[Helge01]

Leider kann ich keine Signatur voreingestellt im TB nutzen (weder HTML, noch als Textdatei eingefügt)

Diesen Satz verstehe ich nicht. Du importierst das Zertifikat in Thunderbird und legst unter den Konten-Einstellungen unter dem entsprechenden E-Mail Konto (Ende-zu-Ende-Verschlüsselung S/MIME) das importierte Zertifikat fest. Wenn du eine E-Mail schreibst, dann wählst du in Thunderbird unter Optionen / Nachricht unterschreiben aus. Mehr ist nicht notwendig, außer das Root-CA von Sectigo ist beim Empfänger nicht vorhanden. Dann muss er dieses in seinem Mail-Client oder Betriebssystem hinzufügen.

 

[Bob.Dig]

@Helge01 Blackland meint sicher eine klassische Signatur aus Text. Da ich so was privat nicht nutze, kann ich auch nichts dazu sagen. Klingt nach einem Bug.

 

[Blackland]

Du importierst das Zertifikat in Thunderbird und legst unter den Konten-Einstellungen unter dem entsprechenden E-Mail Konto (Ende-zu-Ende-Verschlüsselung S/MIME) das importierte Zertifikat fest. Wenn du eine E-Mail schreibst, dann wählst du in Thunderbird unter Optionen / Nachricht unterschreiben aus.

Korrekt. Genau so.

Funktioniert alles einwandfrei..... Nutze ich jedoch eine im TB per HTML erstellte Signatur (voreingestellt für dieses Konto) oder eine als *.txt erstellte Signatur aus einem Verzeichnis beim Verfassen (!!) der Mail, erreicht dies Mail den Empfänger als "unterwegs verändert" und somit mit dem Hinweis, dass die Unterschriftssignatur - aus dem Grund der (angeblichen) Veränderung - ungültig sei. Gleiches, sobald Text in Nachricht eingefügt wird.

Verfasse ich "blank", also ohne Inhalt und Signatur, nur mit Text im Betreff, wird die Mail beim Empfänger völlig korrekt und ordentlich gültig signiert angezeigt.

 

[Helge01]

@Blackland Jetzt verstehe ich was du meinst. Ist aber auch blöd das beides Signaturen sind .

Es muss ein Bug in Thunderbird 91.1.xx sein. Ich habe jetzt mal schnell ein E-Mail Zertifikat ausgestellt und unter Thunderbird 78.13.0 getestet, da funktioniert das zuverlässig (digital signiert und HTML / Text Signatur)

 

[Blackland]

Meine (noch) gültigen class1 funktionieren ja auch tadellos. Nur eben das neue class2 nicht.

Vielleicht ist es ja wirklich ein Bug im neuen Branch 91.xxxx - ich hoffe es.

class1-zertifikat = gut
class2-zertifikat = böse

 

[Helge01]

Meine (noch) gültigen class1 funktionieren ja auch tadellos. Nur eben das neue class2 nicht.

Normalerweise sollte Class 1 / Class 2 in der Funktionsweise von S/MIME überhaupt keinen Unterschied machen. Bei dem Class 2 Zertifikaten handelt es sich ja nur um einen erweiterten Validierungsprozess, wodurch der Name des Antragstellers mit im Zertifikat steht.

Du könntest das ja mal mit einer älteren Thunderbird Portable Version testen.

 

[Bob.Dig]

Gleiches, sobald Text in Nachricht eingefügt wird.

Verfasse ich "blank", also ohne Inhalt und Signatur, nur mit Text im Betreff, wird die Mail beim Empfänger völlig korrekt und ordentlich gültig signiert angezeigt.

Wie jetzt... Text im Body macht auch schon Probleme?

 

[Blackland]

Eine leere E-Mail, nur mit Text im "Betreff" geht sauber durch und kommt unverändert und gültig an. Angezeigt beim Absender + Empfänger: Digitale Unterschrift (Name + E-Mail-Adresse) gültig, Mail wurde nicht verändert.

Sobald Text geschrieben, oder nur die Signatur eingefügt wird (egal wie), kommt die Mail als "ungültige digitale Unterschrift" und "nach dem Absenden verändert" an. Angezeigt nur beim Empfänger, beim Absender ist alles okay.

Ich teste das morgen mit der portablen Version, die ist bei mir noch auf 78.xxx.

 

[Blackland]

Update: portable Version 78.xx funktioniert tatsächlich tadellos. Keinerlei Probleme beim Senden mit oder ohne Text + Signatur, kommt so an, wie gewollt.

Danke für die Hilfe, hätte mich jetzt blöd gesucht beim 91.1!

 

[Bob.Dig]

Sobald Text geschrieben, oder nur die Signatur eingefügt wird (egal wie), kommt die Mail als "ungültige digitale Unterschrift"

Hm, das wär ja sehr ärgerlich. Hab am 3.9. meine letzte S/MIME verschlüsselte E-Mail versandt. Das war dann wohl noch mit 91.0. Es hat sich keiner beschwert, was aber nix heißen mag. 😉
Leider kann ich es selbst nicht weiter testen.

 

[Blackland]

Muss mit dem Update auf 91.xxx tatsächlich so passiert sein, denn ich hatte beim Kumpel nachgefragt, der noch eine ältere Mail liegen hatte, welche noch eine andere Signatur trug - da war diese auch schon "ungültig".

Da achtet anscheinend echt niemand drauf.

 

[Bob.Dig]

@Blackland Hab es jetzt doch mal mit 78.*<>91.1 getestet. Mit 91 ließ sich die verschlüsselte Mail von 78 nicht mal lesen... 😱
Ganz schlechte Entwicklung.

 

[Bob.Dig]

@Blackland Ich habe mal alle AddOns deaktiviert und die Probleme sind verschwunden. Habe dann alle AddOns wieder aktiviert und das Problem ist dennoch nicht wieder aufgetreten.

Könntest Du mir einen Screenshot mit deinen AddOns zukommen lassen oder mal abgleichen?

 

[Blackland]

Ich hatte es ohne AddOn schon probiert, nutze nur BOX-FileLink.

 

[Blackland]

Update: Auf einem frisch installiertem Win10x64 mit neu aufgesetztem TB 91.1.1 funktionierte die Unterschriftssignatur einwandfrei - also kein Grund zur Sorge. Für alle Empfänger war sie gültig, keine Veränderung seit Absenden.

Nun gab es allerdings ein Update auf 91.1.2 und das ganze Mist ist wieder defekt!

 

[Bob.Dig]

Hier nicht. Es scheint wohl vor allem ein "optisches" Problem zu sein.

 

[Blackland]

Na "optisch" ist gut ....

Beim Empfänger äußert sich das z. B. in " CAUTION_Invalid_Signature " in der Betreff-Zeile und ist wenig vertrauenserweckend und vor allem ärgerlich!

Zumal es nicht stimmt und alle i. O. ist!

 

[Blackland]

Update 05/2022: Fehler jetzt gefunden, nachdem mehrere Tickets im TB-Forum etc. ausgewertet wurden und keine Lösung gefunden.

Ich habe 2 Identitäten im Account (Konto) und beiden waren die gleiche Unterschriftssignatur zugeteilt. Nachdem ich der Nicht-Standard-Identität dieses Zertifikat entzog, ist nun beim Empfänger alles in Ordnung.

Konstrukt ist, die Standard-Identität nutzt die E-Mail-Adresse xxx(at)beispielmail.de und auch diese gleiche Antwortadresse.

Zweit-Identität nutzt E-Mail-Adresse und Antwortadresse yyy(at)anderemail.de.

Versendet wurde ausschließlich über Standard-Identität, darauf wurde das Zertifikat auch ausgestellt, also für xxx(at)beispielmail.de.

Im TB 78 portable spielt das absolut keine Rolle, da wird wohl nur 1 Identität auf Logik geprüft. Da funktioniert es alles problemlos mit gleicher Einstellung.

 

[Blackland]

Update: Nach irgendeinem TB-Update der letzten Wochen wieder kaputt, ohne das etwas verändert wurde.