E-Mail-Verschlüsselung (S/MIME)

pc-bastler

Aktives Mitglied
Thread Starter
Registriert
15.06.2005
Beiträge
3.373
Hi,

mir ist folgendes aufgefallen:

Wenn ich eine E-Mail an einen Empfänger sende, von dem ich bereits den Public Key habe, so kann ich die Mail verschlüsseln.
Wenn ich jedoch eine E-Mail von diesem Empfänger erhalte (egal, ob plain, signiert, verschlüsselt oder verschlüsselt und signiert), so kann ich nicht verschlüsselt antworten, ich kann die Mail dann lediglich signieren.

Habe ich hier nur einen Konfigurationsfehler oder ist das ein Bug in Mail.

Ich nutze Mail 13.4 (aktuellstes Catalina auf iMac 2013).
 

festplattenmagier

Aktives Mitglied
Registriert
22.06.2005
Beiträge
1.852
Ich habe mal eine Frage zur Einrichtung am iPhone...
... bzw. hat den jemand zu laufen von euch?

Also ich habe ein gültiges Zertifikate von WISeKey
Generation B (CA4)

Zunächst habe ich das Stammzertifikat installiert:
http://public.wisekey.com/crt/owgrgbca.crt

dann das passende Aussteller Zertifikat:
http://public.wisekey.com/crt/wcidpersgbca4.cer

... und dann mein persönliches inklusive dem privaten Schlüssel (.p12)

Soweit ist auch alles "grün", und bekomme das Zertifikat bei iCloud Mail mal auch als Vertrauenswürdig angezeigt!

1620296088955.png
Allerdings bekomme ich sobald ich eine neue Mail erstellen möchte eine Fehlermeldung;
das Signieren oder Verschlüsseln nicht möglich ist, weil keine Identitäten gefunden wurden...

1620296970395.png

Der Support bei dem Basic Zertifikat ist leider nicht sehr umfangreich... und ich habe keine Ahnung, was ich falsch gemacht haben könnte 🤖⁉️

Die Zertifikatkette scheint nicht unterbrochen, es ist alles signiert und vertrauenswürdig, eine zweite E-Mail Adresse ist nicht aktiv... hmpf...

... vom Mac aus geht es übrigens!


1620296903215.png
 

pc-bastler

Aktives Mitglied
Thread Starter
Registriert
15.06.2005
Beiträge
3.373
Mit WISeKey habe ich keine Erfahrung, mich schüttelt es bei dem Gedanken, ein Root-Zertifikat von jemandem zu Trusten, den ich nicht kenne.

Ich nutze Zertifikate von Actalis.
 

festplattenmagier

Aktives Mitglied
Registriert
22.06.2005
Beiträge
1.852
Soweit ich weiß, sitzen die in Genf (CH) und zumindest die Leute vom AICPA (Webtrust) finden die O.K. :p
 

pc-bastler

Aktives Mitglied
Thread Starter
Registriert
15.06.2005
Beiträge
3.373
Soweit ich weiß, sitzen die in Genf (CH) und zumindest die Leute vom AICPA (Webtrust) finden die O.K. :p
Das Problem wird aber sein, dass es viele gibt, die entweder so denken wie ich oder die gar nicht wissen, wie man ein Root-Zertifikat installieren kann.

Wenn du dann mit dem Zertifikat signierst, werden die dann alle einen Zertifikatsfehler erhalten, was für die meisten Menschen deine Mail dann leider noch weniger vertrauenswürdig aussehen lässt als eine unsignierte Mail...
 

festplattenmagier

Aktives Mitglied
Registriert
22.06.2005
Beiträge
1.852
Ist das Root von denen nicht in den Stammzertifikaten drinne die mit modernen Betriebssystemen bzw. Browsern mitgeliefert werden... bei mir jedenfalls ist es das... und ich kann mich nicht erinnern das manuell installiert zu haben...

Davon ab, ist es ganz schön doof, keine verschlüsselten Mails mehr vom iPhone / iPad mit den Kollegen austauschen zu können... der Mac Pro ist schrecklich unhandlich...
 

pc-bastler

Aktives Mitglied
Thread Starter
Registriert
15.06.2005
Beiträge
3.373
Ist das Root von denen nicht in den Stammzertifikaten drinne die mit modernen Betriebssystemen bzw. Browsern mitgeliefert werden... bei mir jedenfalls ist es das... und ich kann mich nicht erinnern das manuell installiert zu haben...
Du hast doch selbst geschrieben:
Zunächst habe ich das Stammzertifikat installiert:
http://public.wisekey.com/crt/owgrgbca.crt

dann das passende Aussteller Zertifikat:
http://public.wisekey.com/crt/wcidpersgbca4.cer

Wenn es in den vorinstallierten Zertifikaten mit drin wäre, wäre ja alles in Butter mit dem Zert...
 

festplattenmagier

Aktives Mitglied
Registriert
22.06.2005
Beiträge
1.852
Du hast doch selbst geschrieben:


Wenn es in den vorinstallierten Zertifikaten mit drin wäre, wäre ja alles in Butter mit dem Zert...
ja, das habe ich auf dem iPhone gemacht, weil es nicht funktioniert hat...

auf dem Mac habe ich nichts der Gleichen machen müssen... das Cert war bereits vorhanden... (glaube ich zumindest)
 

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
3.926
Allerdings bekomme ich sobald ich eine neue Mail erstellen möchte eine Fehlermeldung;
das Signieren oder Verschlüsseln nicht möglich ist, weil keine Identitäten gefunden wurden...
ist das Zertifikat auch für diese E-Mail-Adresse erstellt worden und hast du es in den Mailaccount-Einstellungen auch ausgewählt?
 

festplattenmagier

Aktives Mitglied
Registriert
22.06.2005
Beiträge
1.852
ja... ich habe nur eine Adresse aktiv auf dem Phone, und den alias (der nicht zum Zertifikat passt), den habe ich auch deaktiviert... Da es eine iCloud Adresse ist, habe ich in den dortigen Einstellungen auch das Zertifikat nochmals ausgewählt bei automatisch signieren, und bei automatisch verschlüsseln... der haken ist ja standartmäßig nicht dran, auch wenn nur ein Zertifikat ist. Die Einstellungen habe ich auch zwei Seiten zurück nochmals übernommen, und dann kontrolliert ob alles richtig gespeichert wurde. Ebenso habe ich mir selbst vom Mac aus eine signierte mail geschickt, und dieses Zertifikat auch nochmals installiert...

Geht nich! - also ich kann auf dem iFön nix signieren und oder verschlüsseln...


....allerdings, wie schon erwähnt, kann ich verschlüsselte Mails dort öffnen und lesen! - solange das Profil mit dem Zertifikat drauf ist! 🤷‍♂️
 

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
3.926
Hi,

mir ist folgendes aufgefallen:

Wenn ich eine E-Mail an einen Empfänger sende, von dem ich bereits den Public Key habe, so kann ich die Mail verschlüsseln.
Wenn ich jedoch eine E-Mail von diesem Empfänger erhalte (egal, ob plain, signiert, verschlüsselt oder verschlüsselt und signiert), so kann ich nicht verschlüsselt antworten, ich kann die Mail dann lediglich signieren.

Habe ich hier nur einen Konfigurationsfehler oder ist das ein Bug in Mail.

Ich nutze Mail 13.4 (aktuellstes Catalina auf iMac 2013).
soweit ich mich erinnere (leider nutzt kaum jemand SMIME in meinem Bekanntenkreis) musst du unter iOS das Zertifikat des Empfängers erst installieren / als vertrauenswürdig kennzeichnen.
 

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
3.926
Geht nich! - also ich kann auf dem iFön nix signieren und oder verschlüsseln...


....allerdings, wie schon erwähnt, kann ich verschlüsselte Mails dort öffnen und lesen! - solange das Profil mit dem Zertifikat drauf ist! 🤷‍♂️
das ist klar, dass das Profil drauf sein muss.

Warum du aber vom iPhone aus nicht mal signieren kannst, ist mir auch schleierhaft. Das einzige was ich mir noch denken kann ist, dass du Mail erst komplett beenden musst oder mal das iPhone neu starten. Vielleicht respektiert dann Mail die Einstellungen.

Die Fehlermeldung deutet halt drauf hin, dass das Zert entweder nicht gefunden wird oder die Adresse des Accounts eine andere ist, als die des Zetifikats.
 
Oben