Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2010)

[bluejay]

Seltsam. Mein Safari kann offenbar die Identität der Website verifizieren, da kommt diese Meldung nicht.

Gerade noch was eingefallen: Hattest Du das Rootzertifikat von CACert schon installiert als die Meldung kam?

 

[Zeisel]

Seltsam. Mein Safari kann offenbar die Identität der Website verifizieren, da kommt diese Meldung nicht.

Dann

... ist [bei Dir] das Root-Zertifikat von CAcert in der Zertifikatsdatenbank [schon] als vertrauenswürdige Zertifizierungsstelle eingetragen oder von einer dort eingetragenen Root CA zertifiziert.

Aus meiner Signatur, die von Wikipedia frei geklaut ist und meinen digital Signierten E-Mails anhaftet (wenn schon nerven, dann richtig):

Sollte die Signatur dieser E-Mail nicht überprüft werden können, so ist das Root-Zertifikat von CAcert im verwendeten E-Mail-Programm nicht in der Zertifikatsdatenbank als vertrauenswürdige Zertifizierungsstelle eingetragen oder von einer dort eingetragenen Root CA zertifiziert.

 

[MacAlzenau]

Ah, da hab ich was falsch verstanden. Also ich müsste mir von deren Webseite ein Zertifikat laden, das mir dann bestätigt, daß die Webseite sicher ist? Scheint mir unsinnig, also sollte ich mir das Thema morgen mal näher anschauen....

 

[Zeisel]

Also ich müsste mir von deren Webseite ein Zertifikat laden, das mir dann bestätigt, daß die Webseite sicher ist? Scheint mir unsinnig, ...

Das ist das wohl dringenste Problem, an dem CAcert derzeit arbeitet. Dennoch ist das nicht unsinnig. GnuPG lädst Du auch aus dem www und prüfst es dann (vielleicht) mit dem auf derselben Seite angegebenen Fingerprint. Letzteren kannst Du möglicherweise auch aus einer unabhängigen Quelle beziehen um sicher zu gehen (spontaner Gedanke).

 

[nggalai]

Ich habe zur Überbrückung, bis die hier in CH von den Behörden akzeptierte S/MIME-Lösung auch mit Mac Mail tut, ein TC Trustcenter-Cert installiert. Wird gut erkannt. Allerdings fand ich es ein wenig eigenartig, dass die Validierungs-Mail von TC selbst nicht geprüft werden konnte – der Inhalt hätte sich angeblich verändert …

Jaja.

 

[bluejay]

Ja, das ist mir da auch schon immer (unangenehm) aufgefallen, daß deren E-Mails grundsätzlich nicht geprüft werden können. Verstehe ich auch nicht so richtig.

 

[stk]

Moin,

das hier klingt interessant:

http://www.golem.de/1003/73605-rss.html

gleich mal runterziehen und schauen ob man's mit dem OS X oder dem Kerio Mailserver verheiratet bekommt … .

Gruß Stefan

 

[meru]

Ja, das ist mir da auch schon immer (unangenehm) aufgefallen, daß deren E-Mails grundsätzlich nicht geprüft werden können. Verstehe ich auch nicht so richtig.

War bei mir auch so, hab mir schon sorgen gemacht!
Aber wenn das bei allen so ist ?

mfg Meru

 

[Zeisel]

Eine eigene Zertifizierungsinstanz erstellen

Über den Zertifikatsassistenten des Schlüsselbundes kann ich eine eigene Zertifizierungsinstanz aufbauen, bekomme dazu sogar eine nette kleine Web-Seite erstellt, auf der meine eigene Root-Zertifizierungsinstanz bereit steht und andere Teilnehmer ein Zertifikat anfordern können.

​

Das klappt unter OS X auch ganz hervorragend, nur scheint Windows davon ausgeschlossen zu sein, da die Einladung über eine Konfigurationsdatei für den Zertifikatsassistenten erfolgt, der auf dem Rechner des anfragenden dann auch direkt das entsprechende Schlüsselpaar generiert und im Schlüsselbund ablegt.

Gibt es eine Möglichkeit, hier Windows-Benutzer mit einzubinden?

Anmerkung: CAcert oder TC Internet ID sind mir als Möglichkeit bekannt und vertraut. Es geht mir jedoch um Möglichkeit und Methode als eigene Zertifizierungsinstanz für einen kleinen Personenkreis sicheren E-Mail-Verkehr einzurichten.

 

[Pii]

Benutze S/MIME seit etwa 10 Jahren. Sowohl Privat als auch Geschäftlich. Anfänglich mit selbstsignierten Zertifikaten, heute mit Zertifikaten von TC Trustcenter und Comodo. Von meinen privaten Kontakten benutzen etwa die Hälfte S/MIME und von meinen geschäftlichen Kontakten etwa ein Drittel. Insgesamt so etwa 60-70 Kontakte.

Bis vor 5 Jahren habe ich auch PGP im Einsatz, habe es aber mangels Teilnehmer eingestellt.

 

[pepi]

Da sieht man wie sehr es davon abhängt in welchem Umfeld man sich bewegt. Bei Technikern ist PGP/GnuPG ungebrochen an der Spitze, ebenso im OpenSource Bereich, also kontakttechnisch gesprochen.
Geschäftlich ist es leider seit dem ungebührlichen Abgang von Thawte ziemlich bergab gegangen, da in AT leider keine erträglichen kostenlosen Alternativen gibt. Zumindest ist mir keine bekannt und ich bin für jeden Hinweis dahingehend dankbar.
Mein Eindruck ist, daß es viele gerne hätten, es darf aber nix kosten und es muß einfach sein.
Gruß Pepi

 

[Pii]

Meine geschäftlichen Kontakte sind zu 80% Software-Entwickler. Nur die anderen 20% benutzen Verschlüsselung fast nicht. Aber Du hast Recht im OpenSource-Umfeld findet man meistens mehr PGP-Nutzer. Und ich meine auch noch im Hochschul-/Universitären-Bereich.

Der imho einzige Vorteil von S/MIME ist das es von jedem Mailclient "Out-of-the-Box" unterstützt wird.

Für private Verwendung bietet bspw. Trustcenter und Comodo auch kostenlose Class1-Zertifikate an. Die Beantragung und Prüfung dauert vielleicht 2-3 Minuten. Ich kann Dir ja mal die Links heraus suchen.

 

[Zeisel]

Links dazu (die von TC dürften den meisten bekannt sein)

Leider nur mit Prüfung der E-Mail-Adresse,
ohne Prüfung der Person "hinter" der E-Mail-Adresse:

1 Jahr Gültigkeit, kostenlos, nur für privaten Gebrauch
http://www.trustcenter.de/products/tc_internet_id.htm

1 Jahr Gültigkeit für 13,50 Euro bis 3 Jahre Gültigkeit für 33,50 Euro
http://www.trustcenter.de/products/tc_personal_id.htm

***

http://www.comodo.com/ :

? Tage Gültigkeit, kostenlos
http://www.comodo.com/home/internet-security/free-email-certificate.php

ab 12 Euro pro Jahr
http://www.comodo.com/e-commerce/ssl-certificates/email-privacy.php

 

[bluejay]

… Von meinen privaten Kontakten benutzen etwa die Hälfte S/MIME und von meinen geschäftlichen Kontakten etwa ein Drittel. Insgesamt so etwa 60-70 Kontakte. …

Du Glücklicher. Würde ich mir auch wünschen.

 

[pepi]

Leider nur mit Prüfung der E-Mail-Adresse,
ohne Prüfung der Person "hinter" der E-Mail-Adresse:
[…]

Danke für die Hinweise.

Das ist leider weniger und in schlechterer Qualität für Geld als man es bei Thawte kostenlos bekommen hat.
Ohne Personenüberprüfung ist das für eine Firma völlig wertlos und privat auch schon schwerst fraglich.

Aber ich sagte ja bereits, daß es keine brauchbaren Alternativen gibt. Die Suche geht weiter.

Du Glücklicher. Würde ich mir auch wünschen.

Dem kann ich nur zustimmen!
Gruß Pepi

 

[naich]

http://www.comodo.com/ :

90 Tage Gültigkeit, kostenlos
http://www.comodo.com/e-commerce/ssl-certificates/free-ssl-cert.php

Ähhm, ich dachte es geht um S/MIME, und nicht um SSL ?!

Der Link ist dann wohl richtiger: http://www.comodo.com/home/internet-security/free-email-certificate.php
Ich weiß leider nicht genau, wie lange die gelten, aber nur 90 Tage dürften es nicht sein :-D

Aber sicherlich ist es dann auch wieder wie bei ehemals bei Thawte so, dass man nach 1 Jahr sich ein neues Zertifikat ausstellen lassen muss.

 

[Zeisel]

Der Link ist dann wohl richtiger: http://www.comodo.com/home/internet-security/free-email-certificate.php

Ja, sicher, danke für den Hinweis.

 

[Pii]

? Tage Gültigkeit, kostenlos
http://www.comodo.com/home/internet-security/free-email-certificate.php

Das ist 1 Jahr gültig.

ab 12 Euro pro Jahr
http://www.comodo.com/e-commerce/ssl-certificates/email-privacy.php

Das kostete knapp 9 €.

Edit: Habe gerade entdeckt, dass die wohl die Preis 1:1 angepasst haben.

 

[Pii]

Du Glücklicher. Würde ich mir auch wünschen.

Ich würde mir eine etwas übersichtlichere Verwaltung der Zertifikate wünschen.

 

[Pii]

Das ist leider weniger und in schlechterer Qualität für Geld als man es bei Thawte kostenlos bekommen hat.
Ohne Personenüberprüfung ist das für eine Firma völlig wertlos und privat auch schon schwerst fraglich.

Dafür sind kostenlose Class1-Certs auch nicht gedacht.

Für den Geschäftsverkehr verwende ich Class3-Certs.