Bevor ichs vergesse: Ich hab natürlich die Web.de-Zertifikate in X509Anchors kopiert.
Muss ich noch irgend etwas machen?
Chris
-
Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
Näheres könnt Ihr hier nachlesen: AGB-Änderung -
Was gibt es Schöneres als den Mai draußen in der Natur mit allen Sinnen zu genießen? Lasst uns teilhaben an Euren Erlebnissen und macht mit beim Thema des Monats Da blüht uns was! ---> Klick
Verwendest Du eMail Verschlüsselung oder digitale Signaturen?
- Ersteller pepi
- Erstellt am
- Status
Bevor ichs vergesse: Ich hab natürlich die Web.de-Zertifikate in X509Anchors kopiert.
Muss ich noch irgend etwas machen?
Chris
Web.de hat das zu verantworten - IMO schlampige Umsetzung!
Tja, das ist ein Problem von web.de. Ich finde sogar eine ziemlich peinlicher Bug, wenn diese Leute schon mit ihren eigenen Zertifikaten werben. Leider konnte ich noch keinen Ansprechpartner von web.de finden, um denen dieses Problem per E-Mail mitzuteilen. Bei [email protected] wird man mit automatischen Mails abgewiesen.
Die Ursache ist folgende:
Die Zertifikate nach dem X.509 Standard werden auf die E-Mail-Adresse in kompletter Kleinschreibung ausgestellt. Wenn nun ein Web.de Kunde bei der Erstellung des Accounts Großbuchstaben innerhalb des Accountnamens (E-Mail-Adresse) verwendet und die E-Mails über die Web.de-Oberfläche verschickt, dann beinhaltet auch die Absenderadresse der E-Mail diese Großbuchstaben.
Ein Beispiel:
Der Kunde erstellt den Account "Hans-Peter-Wilhelm". Daraufhin ist er unter "[email protected]" erreichbar und diese Schreibweise der E-Mail-Adresse wird auch zum Versand über die Webmail-Oberfläche als Absenderadresse gesetzt. Nun das Problem, das eigene web.de Zertifikat wird auf "[email protected]" ausgestellt, somit stimmt es wegen der Großbuchstaben nicht mehr überein.
Du kannst dir ja mal 2 Testaccounts (z.B. "Zertifikat0001" und "zertifikat0002", bei "zertifikat0002" wird es keine Probleme bei der Überprüfung geben) bei Web.de erstellen, dir selbst eine signierte E-Mail zustellen und die schlampige Umsetzung seitens web.de begutachten.
Hauptsache web.de ist 41-facher Testsieger...
Tja, das ist ein Problem von web.de. Ich finde sogar eine ziemlich peinlicher Bug, wenn diese Leute schon mit ihren eigenen Zertifikaten werben. Leider konnte ich noch keinen Ansprechpartner von web.de finden, um denen dieses Problem per E-Mail mitzuteilen. Bei [email protected] wird man mit automatischen Mails abgewiesen.
Die Ursache ist folgende:
Die Zertifikate nach dem X.509 Standard werden auf die E-Mail-Adresse in kompletter Kleinschreibung ausgestellt. Wenn nun ein Web.de Kunde bei der Erstellung des Accounts Großbuchstaben innerhalb des Accountnamens (E-Mail-Adresse) verwendet und die E-Mails über die Web.de-Oberfläche verschickt, dann beinhaltet auch die Absenderadresse der E-Mail diese Großbuchstaben.
Ein Beispiel:
Der Kunde erstellt den Account "Hans-Peter-Wilhelm". Daraufhin ist er unter "[email protected]" erreichbar und diese Schreibweise der E-Mail-Adresse wird auch zum Versand über die Webmail-Oberfläche als Absenderadresse gesetzt. Nun das Problem, das eigene web.de Zertifikat wird auf "[email protected]" ausgestellt, somit stimmt es wegen der Großbuchstaben nicht mehr überein.
Du kannst dir ja mal 2 Testaccounts (z.B. "Zertifikat0001" und "zertifikat0002", bei "zertifikat0002" wird es keine Probleme bei der Überprüfung geben) bei Web.de erstellen, dir selbst eine signierte E-Mail zustellen und die schlampige Umsetzung seitens web.de begutachten.
Hauptsache web.de ist 41-facher Testsieger...
Zuletzt bearbeitet:
Kann mir bitte jemand mit einem web.de Zertifikat mal ein signiertes Mail senden? Ich würde mir das gerne mal ansehen.
Danke
Gruß Pepi
Danke
Gruß Pepi
Jau, krass! Habs gerade probiert. Ist ja peinlich.
Das beste ist allerdings, dass man als alternative Email-Adresse keine web.de-Adressen registrieren kann. Sonst könnte man ja den Fehler selbst beheben.
Hab auch mal an den Support gemailt, mit der Bitte, die Emailadresse in Kleinbuchstaben zusätzlich zu registrieren. Bin mal gespannt obs klappt. Sonst hilft wohl nur Account Löschen und wieder neu anlegen...
Gruss,
Chris
Wenn es bei der Umsetzung schon zu solch gravierenden Fehlern kommt, dann würde ich auch deren Trustcenter mit einem kritischen Auge begutachten.
Nachtrag: Als Betroffener hat man als Alternative nur das Ausweichen auf eine Client-Software. Dann kann man sich aber auch gleich ein Zertifikat einer unabhänigen Zertifizierungsstelle besorgen.
Nachtrag: Als Betroffener hat man als Alternative nur das Ausweichen auf eine Client-Software. Dann kann man sich aber auch gleich ein Zertifikat einer unabhänigen Zertifizierungsstelle besorgen.
Zuletzt bearbeitet:
Quelle?
Ich kann da nichts finden. Kann ja auch sein daß Apple den Standard falsch implementiert...
Gruss,
Chris
Hast Du eigentlich eine Quelle bzgl. X.509 und kleingeschriebenen Emails, bzw. Casesentitivität?Wenn es bei der Umsetzung schon zu solch gravierenden Fehlern kommt, dann würde ich auch deren Trustcenter mit einem kritischen Auge begutachten.
Ich kann da nichts finden. Kann ja auch sein daß Apple den Standard falsch implementiert...
Gruss,
Chris
Ah,
hab schon:
http://www.ietf.org/rfc/rfc4211.txt
Appendix (unterhalb A.2):
Das müsste das wohl sein...
Gruss,
Chris
Web.de Zertifikate haben so wie ich das sehen kann zwei Probleme. Das eine ist in der Tat der Punkt mit der Gross-/Kleinschreibung. Wobei sich dieses Problem eigentlich Clientseitig leicht "beheben", bzw. umgehen läßt.
Das andere Problem ist, daß zumindest unter Mac OS X die Root Zertifikate von Web.de nicht enthalten sind. Somit wird so ein Zertifikat aufgrund der Tatsache, daß es nicht überprüft werden kann niemals als Vertrauenswürdig eingestuft werden. Abhilfe schafft hier nur die Installation des Web.de Root Zertifikates in die X.509 Anker.
Das gleiche Problem haben auch andere CAs wie A-Cert, A-Trust, CAcert.org und so weiter. Wenn die Zertifikatkette nicht überprüft werden kann weil eines fehlt, dann wird das Zertifikat korrekterweise beanstandet.
Dank an iZap für die Zusendung von signierten Testemails.
Gruß Pepi
Das andere Problem ist, daß zumindest unter Mac OS X die Root Zertifikate von Web.de nicht enthalten sind. Somit wird so ein Zertifikat aufgrund der Tatsache, daß es nicht überprüft werden kann niemals als Vertrauenswürdig eingestuft werden. Abhilfe schafft hier nur die Installation des Web.de Root Zertifikates in die X.509 Anker.
Das gleiche Problem haben auch andere CAs wie A-Cert, A-Trust, CAcert.org und so weiter. Wenn die Zertifikatkette nicht überprüft werden kann weil eines fehlt, dann wird das Zertifikat korrekterweise beanstandet.
Dank an iZap für die Zusendung von signierten Testemails.
Gruß Pepi
Sir Q
Rheinischer Winterrambour
- Registriert
- 12.04.05
- Beiträge
- 923
Nach dem letzten Combo-Update auf 10.4.9 hab ich noch mal das Tutorial vom Apfelwiki ausprobiert - und jetzt werden meine Mails zumindest signiert - was ja schon mal ein Vortschritt ist - ABER: so ein blöder Outlook-2000 User schrieb mir, das mein Zertifikat „ungültig, weil abgelaufen” sei. Was nu?
Von welchem Anbieter stammt dein Zertifikat? Ob und wie lange dein Zertifikat noch gültig ist, kannst du ja selbst im Schlüsselbund unter deinen eigenen Zertifikaten nachschauen. Falls dieses wirklich abgelaufen ist, musst du es bei deinem Anbieter erneuern.
Vielleicht besitzt er aber auch noch ein altes bereits abgelaufenes Root- oder Zwischen-Zertifikat, was auch die Kette der Verifizierung unterbrechen würde.
Vielleicht besitzt er aber auch noch ein altes bereits abgelaufenes Root- oder Zwischen-Zertifikat, was auch die Kette der Verifizierung unterbrechen würde.
Sollte es tatsächlich abgelaufen sein, dann hol Dir einfach ein neues Zertifikat. Das ist vollkommen normal, Zertifikate laufen üblicherweise nach einem Jahr aus
Deswegen ist der Outlook 2000 User nicht gleich blöd.
Schick Dir einfach selbst ein signiertes Mail, wenns Probleme gibt, dann zeigt das Mailprogramm das sofort an und mit einem Click auf den "Details" Button, weist Du auch warum.
Gruß Pepi
Deswegen ist der Outlook 2000 User nicht gleich blöd.
Schick Dir einfach selbst ein signiertes Mail, wenns Probleme gibt, dann zeigt das Mailprogramm das sofort an und mit einem Click auf den "Details" Button, weist Du auch warum.
Gruß Pepi
Das ist durchaus merkwürdig. Wird bei dem Outlook-Benutzer tatsächlich "ungültig, weil abgelaufen" angezeigt? Oder wird es als ungültig eingestuft, da es Outlook, aus welchen Gründen auch immer, nicht überprüfen kann?
Vielleicht hat unser Fachmann pepi eine Lösung, mir fällt auf Anhieb sonst nichts ein.
Vielleicht hat unser Fachmann pepi eine Lösung, mir fällt auf Anhieb sonst nichts ein.
Ich werde mich nicht selbst erniedrigen und ein Outlook anfassen.
SirQ,
ich bitte um Zusendung eines signierten eMails zu Testzwecken. Dann können wir zumindest die Zertifikatseite mal überprüfen. Wenn sich der Outlook User dazu bewegen ließe einen Screenshot der Fehlermeldung beizusteuern würde ich das ebenfalls begrüßen. Die Frage ist auch auf welches Zertifikat sich die Fehlermeldung bezieht. Tatsächlich auf das von iZap, oder ein anderes Zertifikat in der Kette?
Gruß Pepi
SirQ,
ich bitte um Zusendung eines signierten eMails zu Testzwecken. Dann können wir zumindest die Zertifikatseite mal überprüfen. Wenn sich der Outlook User dazu bewegen ließe einen Screenshot der Fehlermeldung beizusteuern würde ich das ebenfalls begrüßen. Die Frage ist auch auf welches Zertifikat sich die Fehlermeldung bezieht. Tatsächlich auf das von iZap, oder ein anderes Zertifikat in der Kette?
Gruß Pepi
polyesterday
Stechapfel
- Registriert
- 22.06.04
- Beiträge
- 157
Klasse Thread. Hab soeben ein Zertifikat von Thawte angefordert, ist das einfach - sofern man nicht den Fehler begeht beim Zertifikate-Download Firefox zu nutzen. Der Download scheint auf dem Mac nur mit Safari zu funktionieren. Nur mit Safari landete das Zertifikat dann auch endlich im Schlüsselbund.
Die Integration des Zertifikates und der damit verbundenen Möglichkeit der Verschlüsselung ist in Mail.app absolut gelungen. Einfacher geht es nun wirklich nicht.
Die Integration des Zertifikates und der damit verbundenen Möglichkeit der Verschlüsselung ist in Mail.app absolut gelungen. Einfacher geht es nun wirklich nicht.
Anforderung und Installation von Thawte Zertifikaten funktioniert auch mit Firefox problemlos. Dabei ist allerdings ein zusätzlicher Schritt notwendig um das Zertifikat aus dem Firefox eigenen Keystore in einen Schlüsselbund des Benutzers zu übertragen.
Ein Tip für die, die sich gerade Ihr erstes Zertifikat geholt haben. Benennt im Schlüsselbund Eure "Private Key von Thawte" um und tragt die eMail Adresse zu der die Schlüssel gehören dazu ein! Spätestens beim 2. Schlüsselpaar wisst Ihr nicht mehr welcher Schlüssel zu welcher Adresse gehört und das ist spätestens beim Revoken eines Schlüssels ein Problem.
Gruß Pepi
Ein Tip für die, die sich gerade Ihr erstes Zertifikat geholt haben. Benennt im Schlüsselbund Eure "Private Key von Thawte" um und tragt die eMail Adresse zu der die Schlüssel gehören dazu ein! Spätestens beim 2. Schlüsselpaar wisst Ihr nicht mehr welcher Schlüssel zu welcher Adresse gehört und das ist spätestens beim Revoken eines Schlüssels ein Problem.
Gruß Pepi
PhilippO
Antonowka
- Registriert
- 24.09.06
- Beiträge
- 353
Ich hab jetzt dank iZaps schöner Erklärung ein Zertifikat eingerichtet. Nun sind meine Mails auch signiert. Mit dem Verschlüsseln hat es bei mir noch nicht so geklappt, aber ich denke für den Anfang sind Signaturen ja auch nicht schlecht 
@polyesterday: Mit Firefox geht es auch, aber man muss um die Datei zu erhalten, das Zertifikat "backuppen" (unter Einstellungen -> Erweitert -> Zertifikate anzeigen -> Ihre Zertifikate -> Backup) Musste selber auch ein wenig suchen
@polyesterday: Mit Firefox geht es auch, aber man muss um die Datei zu erhalten, das Zertifikat "backuppen"
(unter Einstellungen -> Erweitert -> Zertifikate anzeigen -> Ihre Zertifikate -> Backup) Musste selber auch ein wenig suchen PhilippO,
um verschlüsseln zu können mußt Du ein signiertes eMail des Empfängers bekommen haben oder seinen öffentlichen Schlüssel, bzw. sein Zertifikat in Deinen Schlüsselbund importiert haben.
Du verwendest immer den öffentlichen Schlüssel des Empfängers um an diesen Empfänger zu verschlüsseln. Dieser, und nur dieser kann Dein eMail dann mit dem privaten Schlüssel auch wieder öffnen.
Meine Empfehlung wäre heutzutage bei Thawte die Zertifikate mittels Safari einzurichten. Dieser importiert die Schlüssel automatisch in den eigenen Schlüsselbund und man erspart sich den Schritt sie aus dem Key-Store von Mozilla/Firefox/Seamonkey manuell in den Schlüssebund exportieren zu müssen.
Gruß Pepi
um verschlüsseln zu können mußt Du ein signiertes eMail des Empfängers bekommen haben oder seinen öffentlichen Schlüssel, bzw. sein Zertifikat in Deinen Schlüsselbund importiert haben.
Du verwendest immer den öffentlichen Schlüssel des Empfängers um an diesen Empfänger zu verschlüsseln. Dieser, und nur dieser kann Dein eMail dann mit dem privaten Schlüssel auch wieder öffnen.
Meine Empfehlung wäre heutzutage bei Thawte die Zertifikate mittels Safari einzurichten. Dieser importiert die Schlüssel automatisch in den eigenen Schlüsselbund und man erspart sich den Schritt sie aus dem Key-Store von Mozilla/Firefox/Seamonkey manuell in den Schlüssebund exportieren zu müssen.
Gruß Pepi
nggalai
Roter Stettiner
- Registriert
- 23.05.07
- Beiträge
- 957
Schade, daß man nicht mehr abstimmen kann. Aber egal; ich verwende schon eine ganze Weile digitale Signaturen und Verschlüsselung (seit meinen Linux-Tagen). Dabei setze ich sowohl auf S/MIME als auch GnuPG, je nachdem halt, an wen die Mail soll. Das Zertifikat habe ich bei VeriSign gekauft, einfach, weil es damit bei den wenigsten Empfängern Probleme gibt („signature could not be verified“ und solche Späße, weil das Root-Zertifikat des Ausstellers nicht im Browser / Mail-Client drin steckt).
Probleme mit S/MIME-signierten Nachrichten gibt es noch zwischendurch bei (wenigen) Outlook-Usern … die bekommen bei der Vorschau meiner E-Mails einen schönen, großen Warn-Kasten auf den Monitor, ob sie denn WIRKLICH eine digital signierte Nachricht lesen möchten. Das Problem läßt sich komischerweise nicht wirklich rekonstruieren; die meisten meiner Outlook-Kontakte kriegen den Kasten nicht zu sehen, trotz identischer Software-Version, OS und Einstellungen … *schulterzuck*
Cheers,
-Sascha
Probleme mit S/MIME-signierten Nachrichten gibt es noch zwischendurch bei (wenigen) Outlook-Usern … die bekommen bei der Vorschau meiner E-Mails einen schönen, großen Warn-Kasten auf den Monitor, ob sie denn WIRKLICH eine digital signierte Nachricht lesen möchten. Das Problem läßt sich komischerweise nicht wirklich rekonstruieren; die meisten meiner Outlook-Kontakte kriegen den Kasten nicht zu sehen, trotz identischer Software-Version, OS und Einstellungen … *schulterzuck*
Cheers,
-Sascha
- Status
2003-2024 Apfeltalk | Made on a Mac