S/MIME Zertifikat nicht vertrauenswürdig?
Hey Zusammen,
ich habe für meine persönliche E-Mail Adresse das D-Trust Advanced Personal eID Zertifikat gekauft, von einem Unternehmen der Bundesdruckerei. Mit der Absicht E-Mails via S/MIME sicher zu versenden und die Vertrauenswürdigkeit meiner E-Mail Adresse insgesamt zu erhöhen.
Doch nun muss ich feststellen, dass Thunderbird und Apple Mail das Zertifikat als nicht vertrauenswürdig einstufen. Anders als bei Gmail und Outlook. Gibt es alternative Zertifikate, die alle Anbieter abdecken oder habt ihr eine Idee, wie ich das behebe?
1 Antwort
Hier wäre es sinnvoll, die gesamte Zertifikatskette zu sehen.
Das Zertifikat im 2. Bild scheint nur ein Intermediate Zertifikat zu sein. Wenn man weiß, von welchen Root Zertifikaten (eines oder mehrere) es signiert wurde, kann man herausfinden, warum Apple und Mozilla das Root Zertifikat als nicht vertrauenswürdig erachten, falls D-TRUST eine Aufnahme in die Liste der vertrauenswürdigen Root Zertifikate bei diesen Anbietern beantragt hat. Die Begründungen für solche Entscheidungen werden immer öffentlich dokumentiert, zumindest bei Mozilla und Google. D-TRUST gilt eigentlich auch als vertrauenswürdig, und deren Root Zertifikate werden normalerweise akzeptiert.
Kann es sein, dass du in deinen Emails nur dein Zertifikat mitsendest ohne die Intermediate Zertifikate bis zum Root? Dann kann es sein, dass dein Zertifikat teilweise nicht akzeptiert wird, da die Intermediate Zertifikate unbekannt sind. Ohne die gesamte Kette lässt sich die Gültigkeit nicht überprüfen. Es kann sein, dass die Intermediate Zertifikate einem Anbieter wie Google bereits vorliegen, da dieser sie schon einmal empfangen und in einem Cache gespeichert hat. Dann kann Gmail die Gültigkeit deines Zertifikats überprüfen, obwohl du keine Intermediate Zertifikate sendest.
Ich vermute, du hast die folgenden Dateien von deinem Zertifikatsherausgeber erhalten:
- cert.pem o.ä. (enthält nur dein Zertifikat, sonst nichts)
- fullchain.pem o.ä. (enthält dein Zertifikat und alle Intermediate Zertifikate, um die Gültigkeit deines Zertifikats zu überprüfen)
Dann solltest du in deinen Emails fullchain.pem verwenden, sodass deine Empfänger auch sicher alle Intermediate Zertifikate haben.
Mega. Danke dir. Tatsächlich hatte ich nur ein Intermediate Zertifikat installiert.