Mail Signierung und Verschlüsselung über Comodo Zertifikat

C

Claudio11

Neues Mitglied
Thread Starter
Dabei seit
01.02.2019
Beiträge
9
Reaktionspunkte
0
Hallo zusammen,

ich habe mich soeben erst neu hier angemeldet und hoffe, dass mir mit meiner Frage geholfen werden kann.

Seit ein paar Tagen versuche ich meine Mails (in der Mac Mail App) zu signieren und zu verschlüsseln. Mailprovider von dem ich das Konto mit der Mac Mail app gekoppelt habe ist googlemail. Für die Verschlüsselung habe ich mich auf YouTube schlau gemacht und folglich ein Comodo Zertifikat beantragt und heruntergeladen. Beim Öffnen des Downloads wird das Zertifikat auch gleich in den Schlüsselbund übertragen jedoch lediglich unter "Zertifikate" und nicht unter "Meine Zertifikate". Es erscheint auch in der Mail App von Mac OS kein Schloss oder sonstiges Symbol neben der Betreff Zeile wenn ich eine Mail verfassen will. Auch der Neustart von der Mail App auf dem Mac hat nichts gebraucht. Ich hab das erst auf High Sierra versucht und nun auch nochmal auf Mojave versucht. Passiert in beiden Fällen exakt dasselbe - nämlich nichts.

Hat mir jemand eine Lösung wie ich das mit der Verschlüsselung hinbekomme?

Vielen Dank im Voraus für eure Beiträge.
Gruß Claudio
 
Hi Elebato,

danke für den Link. Die in deinem Link beschriebenen Schritte habe ich alle auch schon vorher genauso ausgeführt. Aber es passiert leider nicht das was dort beschrieben ist. Wenn ich das Zertifikat öffne wird nicht in "Meine Zertifikate" sondern in "Zertifikate" importiert. Auch das aktive importieren im Schlüsselbund wenn ich auf "Meine Zertifikate" klicke funktioniert nicht, sondern immer auf's Neue wird hier in "Zertifikate" importiert. Mir wird in Mail auch keine Schloss Icon o.ä. angezeigt.

Gruß
 
Claudio11 schrieb:
Mir wird in Mail auch keine Schloss Icon o.ä. angezeigt.
Zum Vergrößern anklicken....

...das wird auch nur angezeigt, wenn Du den öffentlichen Schlüssel des Mailempfängers importiert hast. Normalerweise erfolgt das automatisch, wenn dir jemand eine (unverschlüsselte) Mail mit seinem öffentlichen Schlüssel im Anhang schickt. Schick mal eine Mail an dich selbst, da sollte man die Option sehen.
 
bowman schrieb:
das wird auch nur angezeigt, wenn Du den öffentlichen Schlüssel des Mailempfängers importiert hast.
Zum Vergrößern anklicken....
unsinn. die beiden icons sollten schon angezeigt werden, wenn er eine mail erstellt, oder wie soll er sonst signieren.

@Claudio11
ist das zertifikat im schlüsselbund denn überhaupt korrekt und gültig?
 
...stimmt die Schreibweise der Mailadresse mit der Mailadresse im Zertifikat überein? Stichwort Groß-/Kleinschreibung. Apple Mail ordnet die Zertifikate nur dann der Mailadresse zu, wenn die Schreibweise exakt gleich ist...
 
  • Gefällt mir
Reaktionen: dg2rbf
@Olivetti, hi ja ich hab eben nochmal drauf geachtet. Ist exakt die gleiche. Und es ist gültig bis Februar 2020
 
Comodo Zertifikate gelten in vielen Systemen als nicht mehr vertrauenswürdig, nachdem die mal in 2016 gängige Zertifizierungsregeln nicht eingehalten haben und u.a verschwiegen haben dass die CA mittlerweile einem chinesischen Staatsbetrieb gehört, der durch Trojaner auffällig wurde.

https://support.apple.com/de-de/HT202858

Apple hat daher die zugehörenden Root-Zertifikate entfernt / für nicht vertrauenswürdig erklärt. Comode-Zertifikate die vorher erstellt wurden, bleiben bis zum Ablauf gültig. Neue Zertifikate, die nach der "ungültikerklärung" erstellt werden, können nicht mehr verwendet werden. Das ist der Grund, warum du sie nicht in Mail verwenden kannst.

BTW, auch StartSSL / startcom gehören zu Comodo.

Besorge dir also von einer anderen CA ein Zertifikat. Kostet halt was. Aber das sollte einem dieser Sicherheitsgewinn wert sein. GlobalSign ist da noch einigermaßen günstig. Die kriegst du z.B. über sslplus.de für nur Mail S/MIME problemlos her.

https://www.sslplus.de/smime-zertifikate/ca/globalsign-smime-zertifikate.html
 
  • Gefällt mir
Reaktionen: bowman
Ohhhh!!! Das erklärt einiges! Na gut, dann muss ich wohl die kostenpflichtige Variante wählen....
Vielen Dank @lisanet !
 
lisanet schrieb:
Comodo Zertifikate gelten in vielen Systemen als nicht mehr vertrauenswürdig,
Zum Vergrößern anklicken....

Das kann ich so nicht bestätigen. Ich nutze hier die Comodo Free Zertifikate an meinem Mac und habe noch von nirgends irgendwelche Beschwerden bekommen, auch unser Security Gateway jn der Firma erkennt die Zertifikate als gültig und sicher an.
 
@lisanet
sorry, das ist doch auch unsinn. comodo wurde von francisco partners gekauft – nix chinesen und 3 comodo CAs sind aktuell in mojave gültig.
startcom wurde an wosign verkauft und hatte nie irgendetwas mit comodo zu tun. wegen eddy niggs unabhängigkeit wurde startcom ja permanent torpediert. das ist eine völlig andere baustelle.
pc-bastler schrieb:
auch unser Security Gateway jn der Firma erkennt die Zertifikate als gültig und sicher an.
Zum Vergrößern anklicken....
hier genauso.

---

@Claudio11
am besten systematisch vorgehen (evtle. abweichungen möglich, hier läuft 10.11):

1. "meine zertifikate" im "anmeldung"-schlüsselbund ist bei dir leer oder fehlt nur dein comodo-zertifikat?

2. schau in schlüsselbund/system-roots, dort sollte mindestens ein "comodo certification authority" (seriennummer: 4E 81 2D 8A 82 65 E0 0B 02 EE 3E 35 02 46 E5 3D) vorhanden sein.

3. "zertifikate" im "anmeldung"-schlüsselbund enthält
"comodo rsa certification authority" (seriennummer: 27 66 EE 56 EB 49 F3 8E AB D7 70 A2 FC 84 DE 22) und
"comodo rsa client authentication and secure email ca" (seriennummer: 6A 9B E1 38 3B FF 2B 6B 9F 01 D5 D9 B8 A7 52 56).

4. hat dein cert tatsächlich den grünen haken?

Bildschirmfoto 2019-02-01 um 21.44.23.png
 
ok, das mit woSign / StartCom und Comodo habe ich dann nicht richtig verstanden. Irgendwie war mir das wohl falsch in Erinnerung.

Ich hatte mir nämlich im Feb. 2017 ebenfalls ein "Comodo Free Personal Email Certificate" besorgt nachdem mein startcom-cert ausgelaufen war. Ich hatte dann ebenso das Problem, dass ich Mail nicht überreden konnte, das cert zu verwenden, egal was ich alles versucht hatte.

Ergebnis war schlussendlich, dass ich dann eben zu GlobalSign ging und es damit auf Anhieb funktionierte.
 
lisanet schrieb:
Irgendwie war mir das wohl falsch in Erinnerung.
Zum Vergrößern anklicken....
du hast mich ganz schön erschreckt, ich habe etliche leute mit comodo-certs und ich dachte, wenn das richtig sein sollte, und das wäre spurlos an mir vorbeigegangen... :crack:

es gab min. ein CA-zertifikat, das mal ungültig wurde - vorwiegend in upgrade-hochgezogenen macos-installationen zu finden. wenn man das erneuert (siehe info des certs), wäre das email-cert wieder gültig und allgemein nutzbar.
 
Olivetti schrieb:
du hast mich ganz schön erschreckt, ich habe etliche leute mit comodo-certs und ich dachte, wenn das richtig sein sollte, und das wäre spurlos an mir vorbeigegangen... :crack:
Zum Vergrößern anklicken....
sorry! :eek:

Ich habe mir einfach mal für eine neue Mailadresse meiner Domain ein "Personal Free Email Cert" von Comodo über https://www.instantssl.com besorgt.

Die Bestätigungsmail erhielt dann einen Link und als ich darüber dann das cert runter laden wollte kam tatsächlich eine Fehlermeldung des Schlüsselbundes.

Die p7s-Datei die man da erhält kann man auch mit nem Doppelklick zum Schlüsselbund hinzufügen, kriegt dann aber die Meldung, dass ein Zertifikat in den System-Roots so nicht importiert / verändert werden könne. In der p7s ist also offensichtlich die gesamte Zertifikatskette von Comodo mit drin, die auch bereits im Schlüsselbund ist. Daher die Meldung (die man daher ignorieren kann)

Mein Zertifikat war jedenfalls ganz normal importiert worden, ist unter "Meine Zertifikate" ersichtlich und kann ganz normal in Mail verwendet werden

@Claudio11
Hast du auch eine p7s-Datei als Download erhalten? Falls nein, was dann? Falls ja, schon mal mit Doppelklick darauf probiert das Zertifikat wie oben beschrieben zu importieren?
 
Ich häng mich da mal mit einer vielleicht blöden Frage rein: Was passiert eigentlich, wenn das Zertifikat abgelaufen ist? Das ist ja nur für einen bestimmten Zeitraum gültig. Geht das automatisch? Oder braucht man dann ein neues Zertifikat inkl. neuer Schlüssel, was ja eher lästig wäre - im günstigsten Fall …
 
giesbert schrieb:
Ich häng mich da mal mit einer vielleicht blöden Frage rein: Was passiert eigentlich, wenn das Zertifikat abgelaufen ist? Das ist ja nur für einen bestimmten Zeitraum gültig. Geht das automatisch? Oder braucht man dann ein neues Zertifikat inkl. neuer Schlüssel, was ja eher lästig wäre - im günstigsten Fall …
Zum Vergrößern anklicken....

Man muss sich dann jedesmal ein neues Zertifikat besorgen.
 
Elebato schrieb:
Man muss sich dann jedesmal ein neues Zertifikat besorgen.
Zum Vergrößern anklicken....
Oha, das ist ja nun eher nicht so dolle. Jedesmal neue Schlüssel, einen neuen Public Key verteilen, die alten aufheben. Und was ist mit Mails, die mit dem alten Public Key verschlüsselt wurden? Kann Mail denn mit zwei oder mehr Zertifikaten gleichzeitig umgehen?
 
Mail kann problemlos mit mehreren Zertifikaten umgeht und verwendet natürlich für neu erstellte Mails auch immer nur das aktuelle cert.

Das aktuelle cert wird auch automatisch von Mail beim versenden einer Mail mit angehängt, so dass jeder Empfänger, dessen Mail-Client S/MIME beherrscht (faktisch nahezu alle) automatisch dieses cert erkennt, speichert und die Antwort an dich damit verschlüsselt. Also habe keine Bedenken. Das macht Mail automatisch. Du musst nur dafür sorgen, dass du ein aktuell gültiges cert hast.
Und wie du richtig bemerkt hast, musst du die alten, abgelaufenen certs und keys im Schlüsselbund belassen, damit du die alten Mails lesen kannst. Aber auch das regelt das System von alleine und da kommt auch nix durcheinander. Ich selbst habe zu 3 Mailadressen seit über zehn Jahren S/MIME und alle certs natürlich noch weiterhin.

Wie gesagt. Das einzige was du machen musst, ist das du dir eben regelmäßig wieder ein aktuelles cert ausstellen lässt. That's it.
 
  • Gefällt mir
Reaktionen: mdiehl und Elebato
Ah, danke @lisanet. Vielleicht probier ich das ja doch mal dauerhaft aus (bislang hab ich damit immer nur einige Tests gemacht). Ich hab mal eine Zeitlang meine Mails mit GnuPG signiert, aber das scheint niemanden zu interessieren - ich hab in etlichen Jahren nur zwei, drei verschlüsselte Mails bekommen - und das waren Testmails, ob das System funktioniert ;-).

Nebenbei: Ich bin da über https://www.mesince.com/en-us gestolpert (aktuell nur Windows und Android, iOS scheint gerade im Prüfprozess bei Apple zu sein). Ein kostenloser Mail-Client mit automatischem S/MIME. Aus China. Hm. Kennt das jemand? Ich bin da ja skeptisch …
 
lisanet schrieb:
Die p7s-Datei die man da erhält
Zum Vergrößern anklicken....
bist du sicher, p7s sind doch detached signature files. mein weg läuft generell über firefox, der die certs automatisch importiert, dann exportieren als p12 und hatte so mit macos eigentlich nie probleme.
in den p12-files können AFAIR alle certs der kette enthalten sein, muss aber nicht so sein und deswegen könnte es probleme geben. die jeweilig benötigten certs kann man aber leicht aus der cmd-i info des jeweiligen user-certs nachladen und installieren – vorausgesetzt man traut der seite, auf der man das cert erstellt hat. :p

giesbert schrieb:
Ein kostenloser Mail-Client mit automatischem S/MIME.
Zum Vergrößern anklicken....
ich halte davon gar nichts. damit machst du dich ja von einem anbieter abhängig (app und cert). mittlerweile ist s/mime doch fast idiotensicher – ja fast, sonst gäbe es solche threads nicht und ich meine damit macos/mail, nicht die user.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten