K-Mail speichert Zertifikate nicht

openSUSE 11.4, KDE 4.6.0

Ich habe eine Domain mit E-Mail-Postfach bei Freunden, die nebenberuflich zusammen einen Server betreiben und Domains hosten. Und das Zertifikat dieses Servers wird mir in KMail nicht ordentlich gespeichert. E-Mails empfangen ist kein Problem, aber beim Versenden wird jedesmal neu nach dem Zertifikat gefragt, egal wie oft ich "dauerhaft akzeptieren" anklicke. Das merkwürdigste: Wenn ich eine E-Mail versendet habe und mich durchgeklickt habe, fragt er auch beim nächsten Abholvorgang wieder nach dem Zertifikat. Wenn ich das dann wieder "dauerhaft" akzeptiere, fragt er bei weiteren Abholvorgängen auch nicht mehr nach. Bis ich wieder eine Mail versenden will...

Ist dieses merkwürdige Verhalten irgendwem bekannt? Das macht für mich überhaupt keinen Sinn...

Hallo guter König!

Ich sehe zwei mögliche Fehlerursachen:

1.) Du (*) hast das Herausgeberzertifikat des ausstellenden TrustCenters nicht installiert bzw. diesem nicht das Vertrauen ausgesprochen. Das Hinzufügen von Ausnahmen ist nicht die saubere Lösung!

2.) Der im Zertifikat eingetragene Servername stimmt nicht mit dem im Programm eingetragenen Servernamen überein. Gerade letzteres passiert "gern" bei "selbstgehosteten Domains" und/oder selbstgebastelten Zertifikaten.

... fragt er bei weiteren Abholvorgängen auch nicht mehr nach. Bis ich wieder eine Mail versenden will...

Zum Vergrößern anklicken....

Es sind ja auch zwei unterschiedliche Server ... .

Und nebenbei:

K-Mail speichert Zertifikate nicht

Zum Vergrößern anklicken....

Ich dachte immer, dass macht Kleopatra als zentrale Zertifikats- und Schlüsselverwaltung für KDE ... .

MfG Peter
(*) Ich bin nicht Deutschland, ich lebe nur hier ... .

Guten Morgen Peter!

Du hast Recht. Der Zertifikatsservername ist ein leicht anderer als der, der als Mailservername verwendet wird (frag' nicht wieso - ich habe keine Ahnung, grins). Was Punkt 1 betrifft - damit habe ich mich nie beschäftigt. Das schaue ich mir heute Abend mal an.

Den Einwand mit den unterschiedlichen Servern für Versand und Empfang verstehe ich allerdings nicht - der Unterschied zwischen Zertifikats- und Programm-Servername besteht doch in beiden Fällen!?

Beste Grüße,
der Könich

Leider sind deine Informationen recht dürftig, so dass ich viel vermuten bzw. raten (oder fragen) muss.

Wurde das Serverzertifikat von einem etablierten TrustCenter herausgegeben oder ist es ein selbstsigniertes?

Hintergrund:
[Ich lasse jetzt mal den Mist, der uns mit dem Problem von Comodo eingebrockt wurde, bewusst außer acht!]
Ein TrustCenter als Herausgeber von Zertifikaten muss (zumindest kann ich das von dt. Einrichtungen bestätigen!) extrem hohen Sicherheitsanforderungen genügen. Damit sind nicht nur die angewandten Verfahren der Schlüsselerzeugung, die Infrastruktur, das überprüfte Personal usw. gemeint, sondern auch die Registrierung (Identitätsfeststellung) der Antragsteller. Wenn du ein von einem etablierten dt. TrustCenter ausgestelltes Server- oder Personenzertifikat erhältst (kein Test- oder Kostnix-Zertifikat!!), dann kannst du von der Authentizität der darin eingetragenen Person bzw. der Firma welche den Server betreibt ausgehen.
Und nur, wenn diese Voraussetzungen erfüllt sind, sollte dieses TrustCenter in den Browsern, Mailprogrammen, Betriebssystemen usw. bereits "eingebaut" sein. Der Nutzer muss sich darauf verlassen können. [Leider kann auch das durch Geld geregelt werden.]
Nutzt du aber ein Zertifikat, welches nicht nach den o.g. Bedingungen hergestellt wurde, dann musst du das Herausgeberzertifikat dieses Herausgebers bewusst importieren. Nur durch diese bewusste Handlung sprichst du diesem Herausgeber das Vertrauen aus.
Vertrauen heißt hier, dass die im Zertifikat eingetragene Person bzw. der eingetragene Server authentisch sind, du also keinem gefakteten Server oder Absender bei einer signierten Mail aufsitzt.
=> Vertraust du dem Herausgeber, kannst du auch allen Zertifikaten dieses Herausgebers vertrauen und musst keine "Ausnahmen" hinzufügen.

Zu den Servernamen:
Neben der TLS- oder SSL-Verschlüsselung der Verbindung zum Server haben die Zertifikate ja auch noch die wichtige Aufgabe, exakt festzustellen, ob du auch tatsächlich mit dem richtigen Server verbunden bist und nicht einem Fakeserver oder "Man in the middle" (im dt. Sprachraum neuerdings auch "Wolfgang" genannt) aufgesessen bist. Und da sind TLS/SSL bewusst extrem pingelig (WOWEREIT!). Wenn der im Programm eingetragene und somit für die Verbindung benutzte Servername nicht exakt mit dem im Zertifikat (nach entsprechender Identitätsfeststellung des Antragstellers!) eingetragenen Namen entspricht, schlägt das Protokoll und der Client Alarm. (Hier müsste ich den bekannten Politiker noch einmal zitieren ...).

Ja, und gerade bei "selbst betriebenen" Servern oder (Pseudo-)Domains auf den Servern großer Provider oder bei selbstgebastelten Zertifikaten stimmt der im Zertifikat eingetragene Servername gerne mal nicht mit dem tatsächlichen Servernamen überein.

Tipp: Mitunter kann man auch den echten Servernamen des Providers in Verbindung mit seinem Benutzernamen eintragen. Also an Stelle "smtp.meier.de" dann "smtp.provider.de". Einfach mal probieren.

OK?

MfG Peter