Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2009)

[bluejay]

Wenn ich ein Zertifikat öffne, finde ich auch keine Möglichkeit, es umzubenennen. Da steht, soweit ich weiß, immer der Allgemeine Name aus den Zertifikatsinformationen (da das Zertifikat ja signiert ist, wäre es auch ungültig, würde man dort etwas ändern). Du kannst aber den privaten Schlüssel zu dem Zertifikat umbenennen. Also einmal auf das Zertifikat klicken, Pfeil nach rechts, dann erscheint der private Schlüssel, Doppelklick darauf und du kannst den Namen umbenennen.

Hm. Ich hoffe, das löst dein Problem und Mail guckt sich beim Signieren nur die Schlüsselnamen an, nicht die zugehörigen Zertifikatsnamen ...

Danke für den Tip. Den Namen konnte ich ändern, hat nur leider nichts bewirkt. Es werden weiter die Thawte-Zertifikate verwendet. Naja, ab 16.11.09 soll ja dann damit Schluß sein. Obwohl ich bisher immer noch keine entsprechende E-Mail erhalten habe.

 

[Der_Apfel]

Hm, schade.

Na ja. Noch was anderes: Du benutzt die kostenlosen TrustCenter Zertifikate, wenn ich das jetzt richtig verstanden habe!? Auf deren Seite steht ja „Vertrauensstufe Class 1: Überprüfung der E-Mail-Adresse“, heißt das, dass dann bei einer E-Mail neben „Signiert“ in den Klammern die E-Mailadresse steht? Oder der Allgemeine Name analog zu StartCom „StartCom Free Certificate Member“, dann eben „TrustCenter Free Certificate Member“?

Worin besteht genau der Unterschied zwischen der TC Internet ID und der Personal ID? Ist der nur, dass die Personal ID auch geschäftlich genutzt werden darf, aber die Zertifikats-Informationen sind dieselben? Wenn man also seinen Namen im Zertifikat stehen haben möchte, braucht man schon die Business ID? Das fällt preislich jedoch meilenweit aus dem Rahmen (auch wenn der Preis verständlich ist für Post-Ident oder so).


EDIT: http://www.trustcenter.de/media/ClientCertificateList-0807-de.pdf ist ganz hilfreich.

Aber da steht auch nur „Organisationsname im Zertifikat“, nichts von „Personenname“. Bieten die für Privatpersonen keine Nennung des eigenen Namens im Zertifikat?

CAcert wäre soooo schön, wenn die von jedem OS unterstützt werden würden ...

 

[bluejay]

Hm, schade.

Na ja. Noch was anderes: Du benutzt die kostenlosen TrustCenter Zertifikate, wenn ich das jetzt richtig verstanden habe!? …

Ich würde die ganz gern benutzen, wenn sich nicht Thawte im Moment noch davorsetzen würde.

Der Unterschied zwischen TC Internet ID und TC Personal ID liegt lediglich in der Nutzungsart (privat/geschäftlich) bzw. im Preis. Funktional sehe ich da keinerlei Unterschiede.
Beim TC Internet ID sind neben E-Mail-Adresse noch Land (DE) und Name des Zertifikatinhabers angegeben - im Unterschied zu den Thawte-Zerifikaten in denen neben der E-Mail-Adresse lediglich der Name „Thawte Freemail Member“ auftaucht. Der von Dir bei der Beantragung der TC Internet ID angegebene Name wird also im Zertifikat bzw. dann auch in den signierten/verschlüsselten E-Mails angezeigt.

 

[Der_Apfel]

Das ist ja super. Und überprüft wird der Name nicht?

 

[bluejay]

Das ist ja super. Und überprüft wird der Name nicht?

Nein, ist ja „nur“ Class 1. Da wird nur die E-Mail-Adresse überprüft.
(Hoffe, ich habe das jetzt alles einigermaßen korrekt wiedergegeben.)

 

[Zeisel]

CAcert wäre soooo schön, wenn die von jedem OS unterstützt werden würden ...

Dennoch werde ich als Alternative darauf zugreifen - weil dort Überraschungen wie jetzt bei Thawte unwahrscheinlich sind (non-profit Association). Das Zertifikat liegt schon im Schlüsselbund, nur weigert Mail sich es zu verwenden, signiert weiterhin mit dem Zertifikat von Thawte...

 

[bluejay]

Dennoch werde ich als Alternative darauf zugreifen ...

Könnte mal jemand kurz erklären, was die Vorteile bei CAcert sind. Danke.

 

[Zeisel]

Es stecken keine finanziellen Interessen dahinter, Träger von CAcert ist die CAcert Association, eine in Australien eingetragene gemeinnützige Organisation.

CAcert ist eine gemeinschaftsbetriebene, nicht-kommerzielle Zertifizierungsstelle (Certification Authority, Root-CA oder kurz CA), die kostenfrei X.509-Zertifikate für verschiedene Einsatzgebiete ausstellt. Damit soll eine Alternative zu den kommerziellen Root-CAs geboten werden, die zum Teil recht hohe Gebühren für ihre Zertifikate erheben.

Quelle

Und hier nochmal warum das wichtig ist.

 

[bluejay]

Habe mich jetzt mal bei CAcert angemeldet. Zertifikate habe ich noch nicht erstellt. SSO muß ich mir noch genauer ansehen, verstehe ich nicht so richtig, ist mir jetzt auch zu spät. Root-Zertifikat installieren war ja gar kein Problem.

 

[naich]

Kann jemand noch genauere Informationen zu den trustcenter.de-Zertifikaten liefern? So wie es oben anklingt, steht auch der Name drin, und so wie es hier steht, ist die Nutzung privat kostenlos.

Werden diese Zertifikate von den aktuellen Betriebssystemen automatisch als vertrauenswürdig eingestuft?

 

[bluejay]

Kann jemand noch genauere Informationen zu den trustcenter.de-Zertifikaten liefern? So wie es oben anklingt, steht auch der Name drin, und so wie es hier steht, ist die Nutzung privat kostenlos.

Werden diese Zertifikate von den aktuellen Betriebssystemen automatisch als vertrauenswürdig eingestuft?

Ist eigentlich alles schon beantwortet, aber immer gerne noch einmal (ich habe auch häufig keine Lust hunderte von Beiträgen zu durchsuchen um eine Info zu bekommen).

• Der Name den Du beim Beantragen des Zertifikats angibst steht dann auch neben der zugehörigen E-Mail-Adresse mit im Zertifikat. Im Unterschied zur E-Mail wird der Name aber nicht überprüft. (Class 1 Zertifikat)
• Für die private Nutzung sieht Trustcenter das für jeweils ein Jahr kostenlose TC Internet ID (Class 1) vor.
• Für die geschäftliche Nutzung gibt es TC Personal ID, ebenfalls Class 1 - also nur Überprüfung der angegebenen E-Mail-Adresse - gestaffelt zu Preisen für 1 Jahr (13,50 €), 2 Jahr (23,50 €) und 3 Jahr (33,50 €). TC Personal ID ist technisch/funktionell identisch mit TC Internet ID.
• Gehobenere Ansprüche (Class 2 bzw. 3) befriedigt Trustcenter mit der TC Business ID, bei der neben E-Mail auch noch Name/Identifizierung und Unternehmenszugehörigkeit überprüft und im Zertifikat eingetragen werden. Die Kosten liegen bei 1 Jahr (69 €), 2 Jahre (119 €) und 3 Jahre (169 €)
• Für alle Zertifikate gilt: Man wird rechtzeitig vor Ablauf des Zertifikats über das Ablaufdatum informiert.
• Am Mac (ich glaube ab Tiger) sind die TC Root-Zertifikate in den System-Roots eingetragen. Wie es unter Windows aussieht kann ich nicht mit Sicherheit sagen, meine aber in den jüngeren Windowsversionen sollte es sich genauso verhalten.

Ich hoffe, ich konnte Dir nochmal einen kleinen zusammenfassenden Überblick verschaffen.

 

[naich]

(ich habe auch häufig keine Lust hunderte von Beiträgen zu durchsuchen um eine Info zu bekommen)

Eben. Besten Dank für die so umfangreiche Zusammenfassung.

• Am Mac (ich glaube ab Tiger) sind die TC Root-Zertifikate in den System-Roots eingetragen. Wie es unter Windows aussieht kann ich nicht mit Sicherheit sagen, meine aber in den jüngeren Windowsversionen sollte es sich genauso verhalten.

Ja, das die ab Tiger dabei sind hab ich auch gelesen, mich würde es gerade auch interessieren ob sie auch bei Windows dabei sind (obwohl man dann schon davon ausgehen kann... )

Edit: OK, selber googlen kann man auch mal:

Im Netscape Communicator 4.5 und höheren Versionen (ab Version 4.8 nur noch Class 2 und 3) sowie im Microsoft Internet Explorer 5.01 und höheren Versionen sowie im Internet Explorer von Windows 98 (Zweite Ausgabe), Windows Me (Millennium Edition), ab dem Service Pack 6a für Windows NT 4.0 und Windows 2000 sind unsere CA-Zertifikate bereits vorinstalliert, so dass sich eine Installation erübrigt. Ebenfalls verfügbar sind sie in Opera, Firefox und Mozilla.

Quelle: http://www.trustcenter.de/infocenter/root_certificates.htm

Also da ist scheinbar schon etwas integriert, aber das sieht mir eher nach Zertifikaten für https-Verbindungen aus, weil hier von Browsern die Rede ist?!

Edit 2: Nach dieser Seite heißt das wohl auch, dass die generell in Windows integriert sind, wenn man das so nennen mag.

​

 

[Zeisel]

Vertrauensstufe Class 1: Überprüfung der E-Mail-Adresse
Dein Name steht nicht mit im Zertifikat.

Edit: Ups, ging ja noch eine Seite weiter... hatte die Antworte von bluejay gar nicht gelesen.

 

[bluejay]

Vertrauensstufe Class 1: Überprüfung der E-Mail-Adresse
Dein Name steht nicht mit im Zertifikat. …

Stimmt nur zum Teil. Richtig ist: überprüft wird nur die E-Mail-Adresse. Bei TC steht (und das hat mich anfangs auch etwas gewundert) aber auch der Name - für den allerdings keine Identitätsprüfung erfolg, daher Class 1 - mit im Zertifikat.

 

[Zeisel]

Danke für die Korrektur - ich ging bisher davon aus, dass, wenn der Name im Zertifikat steht, dieser auch überprüft ist.

 

[bluejay]

Danke für die Korrektur - ich ging bisher davon aus, dass, wenn der Name im Zertifikat steht, dieser auch überprüft ist.

Das wäre auch irgendwie logisch. TC scheint da aber einen anderen Weg zu gehen. Was ja für die Übersicht erstmal nicht schlecht ist. Aber im Prinzip kann da dann auch alles stehen. Echt ist eben nur die E-Mail-Adresse.

 

[Hairy]

Das bedeutet also, dass trustcenter.org das neue Thawte ist?

 

[Der_Apfel]

Ja, so wie ich das verstehe, bietet TrustCenter kostenlos alles, was Thawte auch kostenlos geboten hat.

 

[User 50673]

Dumm nur, dass TC nur ein Cert erstellt, wenn man zustimmt, dass man sein public-cert auf einem TC-Key-Server speichern lässt. Soweit kein Problem, doch habe ich kein Bock auf Spam. Und dass solche Quellen gern für Spam-Versand genutzt werden ist ja bekannt. Naja noch abwarten bis Thawte sich bei mir meldet. Bis jetzt habe ich noch nichts erhalten.

 

[Zeisel]

Ja, so wie ich das verstehe, bietet TrustCenter kostenlos alles, was Thawte auch kostenlos geboten hat.

Das stimmt so nicht. Bei Thawte konntest Du neben Deiner E-Mail-Adresse auch Deine Personalien (kostengünstig) überprüfen lassen und hattest so ein hochwertiges Zertifikat, das Deine ECHTE Identität belegte. Bei TC dagegen kann ich mir ein Zertifikat auf jeden beliebigen Namen ausstellen lassen.

... Und dass solche Quellen gern für Spam-Versand genutzt werden ist ja bekannt.

Hast Du dafür eine zuverlässige Quelle? Gibt es dazu eine repräsentative Untersuchung? Ich habe seit 10 Jahren meine E-Mail-Adresse & öffentlichen Schlüssel auf öffentlichen Servern liegen und bekomme auf dieser Adresse kaum Spam. Spammer bedienen sich anderer Quellen! Also diesbezüglich brauchst Du Dir keine Sorgen machen!