-
Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.
Zertifikate in Kmail validieren
- Ersteller rethus
- Erstellt am
Hi rethus,
ich nutze zwar kein kmail, sondern "nur" Thunderbird, aber was das betrifft, sind alle Mailclients gleich.
Diese Fehlermeldung tritt immer (so oder in ähnlicher Form) dann auf, wenn du das Herausgeberzertifkat entweder nicht installiert oder ihm (noch) nicht das Vertrauen ausgesprochen hast.
Das Prinzip bei den X.509-Zertifikaten ist, dass du dem Herausgeber der Zertifikate vertrauen musst, dass dieser die Zertifikate seiner Kunden/Antragsteller usw. auch richtig ausstellt. Damit ist gemeint, dass die im Zertifikat gespeicherten Identifikationsdaten auch wirklich zu genau dieser natürlichen Person gehören. Und wenn du dem Herausgeber dein Vertrauen schenkst, dann gehst du automatisch davon aus, dass eine von Max Müller signierte Mail auch wirklich von Max Müller stammt. (Bei einem nach dem dt. Signaturgesetz akkreditierten Trustcenter kannst du dir dessen ganz sicher sein!)
Und die Herausgeberzertifikate vertrauenswürdiger Herausgeber (=> Trustcenter) werden von den Produzenten der üblichen Browser bereits bei der Installation mit übergeben.
Jetzt gibt es aber auch Trustcenter, welche als "Lockangebote" (um die S/MIME-Anwendung zu verbreiten, jedoch für private Mailverschlüsselung unter Bekannten Personen völlig ausreichend!) Zertifikate ohne die erforderliche Personenidentifikation herausgeben. Dort wird lediglich die Mailadresse überprüft. Die root-Zertifikate für derartige, meist als class-1 bezeichnete, Zertifikate sollten nicht zu den von Hause aus eingetragenen Herausgebern gehören. Diese musst du also nachträglich importieren. Denn wenn du dies machst, dann tust du dieses ganz bewusst, und weißt damit auch, dass du einem derartigen "niederwertigen" Zertifikat vertraust.
Die Begriffe "Lockangebot" und "niederwertig" sind hier keineswegs abwertend zu sehen. Auch ich benutze für meine private Kommunikation derartige "Kostnix-Zertifikate". Wie schon gesagt - unter bekannten Personen völlig ausreichend, sowohl was die Signatur als auch die Verschlüsselung betrifft.
Nachdem ich mir deinen Beitrag noch einmal durchgelesen habe, noch eine Ergänzung:
Das Herausgeberzertifikat ist, wie geschrieben, Pflicht. Ohne dieses geht nix ... . Und normalerweise reicht dieses auch völlig aus.
Online-Überprüfung: Jedes "vernünftige" Trustcenter bietet zumindest eine der beiden möglichen Online-Überprüfungen an: crl und/oder ocsp.
Mit dieser Überprüfung (noch einmal: ohne diese geht es auch!) zeigt nichts anderes an, als die Sperrung eines Zertifikates vor dem Erreichen des Endes seiner Gültigkeit. Ein (Personen-)Zertifikat hat eine Gültigkeit von einem (Softwaretoken, .pfx oder .p12 als Schlüsseldatei) oder max. 5 Jahren bei einer Chipkarte. Wenn der Besitzer oder der Herausgeber dieses Zertifikat vorher sperren will/muss, dann muss das den Anwendern zur Signaturprüfung mitgeteilt werden. Und deren Anwendungen KÖNNEN diese Prüfung durchführen.
crl = Sperrliste, in die alle gesperrten Zertifikate eingetragen werden. Der Client holt sich diese und vergleicht, ob das vom Absender genutzte Z. drin steht.
ocsp = OnlineCertificateStatusProtokoll = Anfrage an den ocsp-Responder mit der Zertifikatsnummer, Antwort: gut, unbekannt oder gesperrt.
Und noch einen: Falls es interessiert: In den FAQ des Thunderbird-Forums steht dazu ein längerer Beitrag von mir (NEIN, keine Werbung
)
MfG Peter
ich nutze zwar kein kmail, sondern "nur" Thunderbird, aber was das betrifft, sind alle Mailclients gleich.
Diese Fehlermeldung tritt immer (so oder in ähnlicher Form) dann auf, wenn du das Herausgeberzertifkat entweder nicht installiert oder ihm (noch) nicht das Vertrauen ausgesprochen hast.
Das Prinzip bei den X.509-Zertifikaten ist, dass du dem Herausgeber der Zertifikate vertrauen musst, dass dieser die Zertifikate seiner Kunden/Antragsteller usw. auch richtig ausstellt. Damit ist gemeint, dass die im Zertifikat gespeicherten Identifikationsdaten auch wirklich zu genau dieser natürlichen Person gehören. Und wenn du dem Herausgeber dein Vertrauen schenkst, dann gehst du automatisch davon aus, dass eine von Max Müller signierte Mail auch wirklich von Max Müller stammt. (Bei einem nach dem dt. Signaturgesetz akkreditierten Trustcenter kannst du dir dessen ganz sicher sein!)
Und die Herausgeberzertifikate vertrauenswürdiger Herausgeber (=> Trustcenter) werden von den Produzenten der üblichen Browser bereits bei der Installation mit übergeben.
Jetzt gibt es aber auch Trustcenter, welche als "Lockangebote" (um die S/MIME-Anwendung zu verbreiten, jedoch für private Mailverschlüsselung unter Bekannten Personen völlig ausreichend!) Zertifikate ohne die erforderliche Personenidentifikation herausgeben. Dort wird lediglich die Mailadresse überprüft. Die root-Zertifikate für derartige, meist als class-1 bezeichnete, Zertifikate sollten nicht zu den von Hause aus eingetragenen Herausgebern gehören. Diese musst du also nachträglich importieren. Denn wenn du dies machst, dann tust du dieses ganz bewusst, und weißt damit auch, dass du einem derartigen "niederwertigen" Zertifikat vertraust.
Die Begriffe "Lockangebot" und "niederwertig" sind hier keineswegs abwertend zu sehen. Auch ich benutze für meine private Kommunikation derartige "Kostnix-Zertifikate". Wie schon gesagt - unter bekannten Personen völlig ausreichend, sowohl was die Signatur als auch die Verschlüsselung betrifft.
Nachdem ich mir deinen Beitrag noch einmal durchgelesen habe, noch eine Ergänzung:
Das Herausgeberzertifikat ist, wie geschrieben, Pflicht. Ohne dieses geht nix ... . Und normalerweise reicht dieses auch völlig aus.
Online-Überprüfung: Jedes "vernünftige" Trustcenter bietet zumindest eine der beiden möglichen Online-Überprüfungen an: crl und/oder ocsp.
Mit dieser Überprüfung (noch einmal: ohne diese geht es auch!) zeigt nichts anderes an, als die Sperrung eines Zertifikates vor dem Erreichen des Endes seiner Gültigkeit. Ein (Personen-)Zertifikat hat eine Gültigkeit von einem (Softwaretoken, .pfx oder .p12 als Schlüsseldatei) oder max. 5 Jahren bei einer Chipkarte. Wenn der Besitzer oder der Herausgeber dieses Zertifikat vorher sperren will/muss, dann muss das den Anwendern zur Signaturprüfung mitgeteilt werden. Und deren Anwendungen KÖNNEN diese Prüfung durchführen.
crl = Sperrliste, in die alle gesperrten Zertifikate eingetragen werden. Der Client holt sich diese und vergleicht, ob das vom Absender genutzte Z. drin steht.
ocsp = OnlineCertificateStatusProtokoll = Anfrage an den ocsp-Responder mit der Zertifikatsnummer, Antwort: gut, unbekannt oder gesperrt.
Und noch einen: Falls es interessiert: In den FAQ des Thunderbird-Forums steht dazu ein längerer Beitrag von mir (NEIN, keine Werbung
)MfG Peter
Ich denke, dass es in dem vorliegenden Fall bei mir eher daran leigt, das Kleopatra, welches von Kmail genutzt wird, keinerlei Server eingetragen hat, auf dem es nachsehen kann, ob das Zertifikat vertrauens-gewürzig ist :???:
Idealer wäre wenn man es direkt mit kgpg koppeln könnte.
Aber ne funktionierende Überprüfung über onlineserver ist schon wichtig, denn wie soll kleopatra denn prüfen ob das ein reales zertifikat ist, wenn es keinen Schlüsselserver hat.
Idealer wäre wenn man es direkt mit kgpg koppeln könnte.
Aber ne funktionierende Überprüfung über onlineserver ist schon wichtig, denn wie soll kleopatra denn prüfen ob das ein reales zertifikat ist, wenn es keinen Schlüsselserver hat.
Das ist ja genau das, was ich zu erklären versucht habe.rethus schrieb:
Kleopatra ist die Anwendung, mit deren Hilfe du die X.509-Schlüsselverwaltung durchführst ... .
GnuPG ist GnuPG und X.509 ist X.509. Es gibt Gemeinsamkeiten (beides eine Kombination aus symm. und asymm. Verschlüsselung ...) und Unterschiede. Und den wichtigsten Unterschied habe ich dir erklärt. Und im Unterschied zu GnuPG benötigst du eben den "Vertrauensanker" in Form des vertrauenswürdigen Herausgeberzertifikates. Und wie die Onlineprüfung abläuft, habe ich auch beschrieben.rethus schrieb:
Mein Vorschlag: Entweder meinen Beitrag noch einmal _in_aller_Ruhe_ durchlesen oder in anderen Quellen (Wikipedia => X.509, => S/MIME oder => X.509-Standard) suchen ... .
MfG Peter