Thunderbird S/MIME mit Web.de Zertifikat

[iceview]

Hallo zusammen,

weiß jemand vielleicht warum ich keine Mails signieren kann mit dem Thunderbird (aktuelle Version).

Folgendes habe ich gemacht:

1.) Web.de eigenes Mailzertifikat mit PW versehen und als *.p12 exportiert
2.) Root und Email CA von trustcenter.web.de heruntergeladen.
3.) Beide Zertifikate in Thunderbird importiert. Beide werden dort erkannt, einmal als Server einmal als CA.
4.) Beide als vertrauenswürdig eingestuft für Mails, Software und Webseiten.
5.) Mein eigenes *.p12 in Thunderbird importiert, nach PW EIngabe wird dieses als mein eigenes Zertifikat erkannt.
6.) Kontoeinstellungen --> S/MIME --> Mein Zertifikat ausgewählt für Signatur und Verschlüsselung

So... wenn ich nun eine Mail schreibe und diese nur signieren möchte bekomme ich immer die Meldung aus dem Bild im Anhang.

Was mache ich verkehrt?

 

[miraculous]

Hallo erstmal! :-)

Ich bin zwar nur ein Neuling, was E-Mail-Verschlüsselung angeht, aber hier mal mein Senf dazu. Momentan teste ich mit S/MIME und PGP rum. S/MIME und Web.de-Zertifikate laufen schon ganz gut bei mir. Zu deinem Problem:

Thunderbird bringt deine Fehlermeldung, wenn die Zertifizierungsstelle deines Zertifikates nicht in der Liste der Zertifizierungsstellen eingetragen ist. Der Eintrag sollte im Thunderbird-Zertifikat-Manager

"WEB.DE GmbH => WEB.DE TrustedCenter E-Mail-Zertifikate"

lauten. Vielleicht hast du die Web.de-Zertifikate nicht an der richtigen Stelle eingefügt?

Na jedenfalls läuft bei mir mittlerweile auch die Verschlüsselung zwischen einem GMX.de- und einem WEB.de-Account. Für den GMX-Account musste ich allerdings ein Zertifikat extern erstellen lassen, weil ich kein GMX-internes gefunden habe. Das habe ich über www.cacert.org gemacht.

Falls man nur das Web-Interface von Web.de verwendet, läuft die S/MIME-Verschlüsselung zwischen Web.de-Accounts auch ganz gut. Die erste Mail signieren und dann kann ja verschlüsselt werden.

Seltsam finde ich nur, dass bei dieser Verschlüsselung offensichtlich Absender und Betreffzeile LEER bleiben??? Kann mir einer sagen, warum das so ist?

Gruß miraculous

PS: Bin ein Newbie, was E-Mail-Verschlüsselung angeht! Also seid nicht so hart mit mir. ;-)

 

[BeeHaa]

@miraculous
Meinst du wirklich PGP oder OpenPGP aka GnuPG?

Den Sinn Mails zu verschlüsseln die man ggbf. im Browser eintippt und der andere im Browser liest, bleibt für mich momentan im Dunkeln verborgen.

 

[miraculous]

@BeeHaa

Ja, ich meinte OpenPGP und nutze das mittels "Enigmail" im Thunderbird.

Naja, die Verschlüsselung im Webinterface von web.de zu web.de ist wohl eher sinnfrei, haste Recht.

CYA

 

[BeeHaa]

Nun... Von web.de nach gmx nicht? Im Web der eine was getippt und der andere gelesen heißt, das ganze passiert ~6 reale Serverkisten, ist dabei aber auf mind. 2 Servern unverschlüsselt gewesen während der Abwicklung.

Ich hab das mit dem Mailen über Webinterfaces und Textverschlüsselung glaub ich noch nicht so wirklich kappiert.

 

[iceview]

Wie gesagt:

Dies habe ich gemacht.

1.) Web.de eigenes Mailzertifikat mit PW versehen und als *.p12 exportiert
2.) Root und Email CA von trustcenter.web.de heruntergeladen.
3.) Beide Zertifikate in Thunderbird importiert. Beide werden dort erkannt, einmal als Server einmal als CA.
4.) Beide als vertrauenswürdig eingestuft für Mails, Software und Webseiten.


Verbessert mich wenn was nicht stimmt...

 

[miraculous]

Ein paar allgemeine Gedanken ...

Ich möchte eine Mail schreiben, dessen Inhalt bei mir verschlüsselt und beim Empfänger entschlüsselt wird. Dazu nutze ich z.B. S/MIME => von web.de.

1. Einloggen in meinem Email-Account im Browser, also Webinterface.

2. Eintippen der Mail, Option VERSCHLÜSSELN auswählen und abschicken der Mail. Natürlich kann ich die Mail nur an den Empfänger verschlüsselt senden, dessen Zertifikat (öffentlicher Teil) ich habe.

3. Mail wird in meinem Browser verschlüsselt und geht von meiner IP zum Mail-Server von Web.de. Die verschlüsselte Mail wird dann weiter an den Mail-Server des Empfängers versandt.

4. Der Empfänger loggt sich per Webbrowser also Webinterface in seinen Web.de-Account ein und ruft die Mail ab. Er kann sie mit dem privaten Schlüssel seines Zertifikates entschlüsseln.


Sicherheitsbedenken:
zu 2. => Der Inhalt der eingetippten Mail könnte per Keylogger erfasst werden. Dann wäre der Computer des Absenders gehackt.

zu 3. => Zwischen ggf. diversen Webservern könnte lediglich eine verschlüsselte Mail abgefangen werden.


Ergo ist in diesem Szenario eine Verschlüsselung sinnvoll, oder?

Habe ich jetzt irgendwelche Denkfehler???

 

[BeeHaa]

Viren, also auch Keylogger, die auf dem Client laufen sind eine separate Geschichte. Darum kann sich eine "Versand-Verschlüsselung" nicht kümmern. Das gilt dann genauso für OpnePGP und einen Mailproggi. Ok, die gefahren sollte man aber abwegen. Schon richtig.

Mir fällt aber etwas anderes auf. Mir ist es noch nie gelungen ein Mail-Webinterface ohne Javascript zu benutzen (NoScript).
D.h. bei meinen Versuchen möchte z.B. GMX, daß Javascript dabei läuft. Ich weiß nicht, ob HTML4&Co das nicht hergeben oder die entsprechenden Webprogrammierer dafür zu faul/unfähig sind das anders zu erledigen, aber das sind meine Erfahrungen bis jetzt.

Das Problem dabei ist, daß man sich mit Javascript den "Zwischenstand" des getippten Textes auf den Server ziehen kann. Meistens wird das als Feature "verkauft", falls man z.B. ausgeloggt wurde, um da weiter zu machen wo man durch das Ausloggen aufgehört hat. Das ist in den Forensftware sehr beliebt, kann aber überall angewendet werden.

Die Frage, ob ihr euch schlau gemacht wie gmx, web.de und andere das Handeln halte ich daher für berechtigt. Genauso wie die Sicherheiten aussehen, daß die das auch wirklich jedesmal so handeln...

Alleine diese Möglichkeit, die Möglichkeit es für den Benutzer unbemerkt zu tun, verbunden mit dem imho Zwang zu Javascript bei Email-Webinterfaces, stellt diese Lösung aus einer rein sicherheitstechnischen Sicht der Dinge für mich als ziemlich fragwürdig.

Die Hürde für eine Verschlüsselung um als SICHER zu gelten ist nunmal, daß prinzipiell niemand z.B. einen Text lesen kann, außer dem Absender und dem Empfänger.

auch die Frage, ob diese Möglichkeit Webinterfaces ohne Javascript über HTML (5?) zur Verfügung sthene, stellt sich ebenfalls.
Es tut mir zwar an der Stelle leid, daß ich keine Antworten liefern kann, aber andererseits fängt Sicherheit mit den richtigen Fragen an...

 

[miraculous]

Oh man, da haben wir ja eine schöne Diskussion losgetreten.

Mails per Webinterface zu verschicken scheint mehr Lücken aufzuweisen als per Mail-Client.

Die NoScript-Geschichte habe ich gerade getestet. Ohne Java geht bei Web.de ja garnichts. :-O Mit Web-Programmierung + Sicherheit kenne ich mich allerdings nicht aus. Zumindest ist man ja mit HTTPS im Mail-Account eingeloggt. Und es ist immer nur die aktuelle Sitzung/Session gültig. Aber was genau bewirken diese Features und wo können Sicherheitslücken entstehen? Ist die Java-Applikation unverschlüsselt? Ist die zwischenzeitliche Übertragung meiner gerade teilweise geschriebenen Mail an den Server unverschlüsselt (es wird also der aktuelle Stand festgehalten u ggf. die Mail als Entwurf zwischengespeichert)?

Wenn man auf Nummer Sicher gehen möchte, sollte man wohl eher bei einem E-Mail-Client bleiben (meine Laienmeinung).

Die Webinterface-Javaimplementation weist möglicherweise Sicherheitslücken auf!?

Insgesamt finde ich die aufkommenden Sicherheitsfragen sehr interessant. Kennt jemand ein darauf spezialisiertes Forum? Hier bei Computerbase siehts dahingehend ja eher mau aus.

 

[BeeHaa]

Bei Gmail ist ein zwischenzeitliches Autosave schonmal bestätigt...

Es ist nunmal so, daß du das nicht verhindern kannst (ohne Javascript kein Webinterface) und andererseits so ein Autosave sich nicht zwangsläufig zu erkennen geben muß.

So gesehen besteht also immer die Möglichkeit, daß du deine Texte nicht nur auf deinem Rechner tippst, sondern quasi auf dem Server.

Ist das so, führt das den Gedanken die Emails die über ein Webinterface verfasst werden anschliessend zu verschlüsseln eben ad absurdum.

p.s.:
Du kannst mal bei camp-firefox versuchen. Die Leute sind da für gewöhnlich gut "allgemeingebildet".

 

[MrKnoedelmann]

@iceview

Hat sich das ursprüngliche Problem geklärt? Ich habe nämlich seit geraumer zeit (Monaten?) das selbe Problem.

ich vermute mal ganz stark, dass das Zertifikat von Web.de falsch ausgestellt wurde. Über das webportal funktioniert das signieren, über den Umweg mit Zertifikaten (eigenes und webdeca + webderoot) nicht mehr. Vorher hat das jahrelang geklappt.

Das Outlook zeigt an, dass die digitale Signatur nicht korrekt ist. Der thunderbird zeigt nur eine nichtssagende Meldung an, dass das eigene Zertifikat nicht gefunden werden konnte. Was ja offensichtlich nicht stimmt, weil man es in den Kontoeinstellungen auswählen kann.

Gruß

 

[iceview]

Ich hab auch keine Lösung gefunden...

 

[nocrash]

Ich hab auch keine Lösung gefunden...

Frohes Neues!

Nach ein wenig Sucherei.. Ab TB16 werden MD5 Zertifikate nicht mehr vertraut und genau so eins ist das WEB.DE E-Mail-Zertifikat . (http://www.thunderbird-mail.de/forum/viewtopic.php?f=33&t=60895#p331628)

Man kann dies in der erweitere Konfiguration über security.enable_md5_signatures auf true ändern. Danach wird dem E-Mail Zertifikaten wieder vertrauen geschenkt. Emails können wieder signiert werden.