Hallo,
ich frage mich, woher ich günstig ein gutes SMIME Zertifikat bekommen kann.
Die Website von
https://volksverschluesselung.de/
war so langsam, dass sie unnutzbar ist.
Hier bekommt man ein Zertifikat, aber das kostet 54€ pro Jahr:
Hier bekommt man eines für 4,99€ aber der Key wird beim Anbieter generiert und liegt daher auch bei ihm:
Dieser Anbieter wäre kostenlos aber dessen Website ist nicht mal mit https:
Jetzt frage ich mich, kennt jemand eine bessere Lösung?
Da tut sich meist im Preis nicht sehr viel. Die bekanntesten Anbieter sind ssl.com, entrust, comodo, digicert oder swisssign.
Kostenlos gibt’s welche vom DGN (Deutsches Gesundheitsnetz) - allerdings ist deren Root-Zertifikat nicht in den Browsern vorhanden.
Das S/MIME von der „volksverschluesselung“, A.K.A. vom Fraunhofer geht am schnellsten per nPA. Allerdings sind die extrem pingelig, was die Übereinstimmung von Name im nPA und Mailadresse angeht. Wer „Heinz Müller“ heisst, bekommt kein S/MIME-Zertifikat auf „heinz.mueller@blablablabla“ ausgestellt. War vorher mal anders- jetzt sorgt mein Name dafür, dass ich kein S/MIME-Zertifikat mehr erhalte.
Allgemein ist den Ausstellern bei einem Klasse-1-Zertifikat die Mailadresse egal.
Die Zertifizierung in Deutschland ließt sich gut aber ich habe momentan noch keine ePA.
Dieser Anbieter ist nur nicht in Deinem Browser hinterlegt, wenn man sich rein liest, was eine Menge Arbeit bedeutet um alles zu verstehen, kann man aber mit etwas Glück ein kostenloses root Zertifikat bekommen.
Wenn Du ein paar Leute findest die Deine Identität beglaubigen, kannst Du irgendwann auch Deinen Namen eintragen.
Muss man nur Geduld haben, oder zu einem Treffen gehen, wo man sich direkt mehrfach beglaubigen lassen kann.
Die Idee ist im Grunde sehr gut, doch alleine für S/MIME macht sich keiner mehr die Arbeit die dahinter steckt, da es für Webseiten mittlerweile kostenlose gibt, was die Weiterentwicklung des einzigartigen freiwilligen Projects stark aus gebremst hat.
Kleiner Hinweis:
ssl.com (Houston/TX) ist kpl. (mit allen Seiten u. Unterseiten) hinter Cloudflare.
Die Aussage:
Vertrauen ist das, was wir tun
dürfte also eher auf US-amerikanisches „Vertrauen“ zugeschnitten sein.
Zertifikate, die von Comodo ausgestellt werden, würde ich möglichst meiden.
Muss nicht bei der Volksverschlüsselung der Empfänger diese CA eingetragen haben?
Ich erinnere mich, dass bereits bei den üblichen einfachen Zertifikaten meine Bank Probleme hatte, die Signierung von Mails zu akzeptieren.
Und: S/MIME per Browser-Interface auf einen Account funktioniert auch nicht mit jedem Browser - oder leige ich da falsch?
Mir ist kein Anbieter bekannt, der kostenlose oder auch nur preisgünstige Zertifikate anbietet und bei denen der Vertrauensanker bei den Standard-CAs dabei ist. Sprich, Du musst Geld ausgeben oder Deinen Kommunikationspartnern Deine eigene CA unterschieben - beides für Privatpersonen eher uninteressant.
In meinen Augen taugt S/MIME nur innerhalb einer Lieferkette in der man die CAs untereinander austauscht. Und auch da halte ich Ende-zu-Ende-Verschlüsselung (S/MIME oder PGP) für weniger praktikabel als authentifizierte Transportverschlüsselung mit SMTP-DANE, denn entweder hat man für E2E ein Gateway, ein zentrales Schlüsselmanagement, oder Probleme mit dem Zugriff für die Auskunft oder im (z.B.) Krankheitsfall eines Mitarbeites.
In meinen Augen ist das fast so tot wie PGP.
https://shop.actalis.com/store/it-en/certificati-s-mime
Gerade entdeckt, kostenlos, ein Jahr gültig anscheinend.
und bei welchem Deiner Kommunikationspartner ist die CA vertrauenswürdig?
Gibt es denn begründete Zweifel an dieser europäischen Zertifizierungsstelle?
Die Firma hat ein ordnungsgemäßes Impressum, deren SSL-Zertifikate sind im Firefox hinterlegt, die für S/MIME benötigten z.B. im Thunderbird. Was ausser persönlichen Präferenzen sollte dagegen sprechen?
mit vertrauenswürdig meine ich, welche Software oder Betriebssysteme das Root-CA enthält (insbesondere auch plattformübergreifend und auch in nicht ganz aktueller Software). Und
Die Registrierung fordert eine Unmenge von Daten einschließlich einer nicht häher erklärten DokumentenId. Da hab ich dann abgebrochen. Ob der private Schlüssel lokal generiert wird weiß ich also nicht.
Alles was in diesem Bereich kostenlos ist, macht mich skeptisch…
auf Wikipedia steht:
ACTALIS S.p.A.[7] (1 Jahr Gültigkeit – Achtung: „private-key“ wird vom Server generiert und ist damit dem Anbieter bekannt)
https://de.wikipedia.org/wiki/S/MIME#Kostenlose_Zertifikate
Das günstigste, das ich bisher gefunden habe ist Secorio:
https://secorio.com/zertifikate/smime-email/
Aber für private Mails ist mir das zu teuer, weil im Privatbereich eh niemand darauf achtet.
Ich verstehe nicht, warum bei der Volksverschlüsselung das ganze nicht so weit zertifiziert wurde, dass es in allen Browsern als vertrauenswürdig gelistet ist. So ist das doch nur Schrott und reine Verschwendung von Steuergeldern…
https://de.wikipedia.org/wiki/Volksverschlüsselung
Also sind die nicht vertrauenswürdig.
Die einzige Lösung die wirklich Sinn ergibt ist RFC 8162. Damit könnte jeder bestimmen, wem er vertraut (ggfs. sich selbst) - aber das scheint niemand zu verwenden.
Das kenne ich noch gar nicht. Ist das das gleich wie DKMI? dafür gibt es nämlich ein Thunderbird Plugin.
Ohne solcher Daten wirst Du kein Zertifikat bekommen, was Deine Identitität nachweisen soll.
Bei CACert läuft das sogar mit zwei Dokumenten. Leider habe ich noch nicht genügend Punkte zusammen, um meinen Namen ein tragen zu können, bis jetzt nur die Mail Adresse.
Überblick und Stichwortliste auf https://blog.lindenberg.one/EmailVideo.
Guter Punkt. Fragt sich wofür man S/MIME verwenden will. Für vertrauliche Kommunikation mit bekannten Kommunikationspartnern oder zur identifizierten Kommunikation mit unbekannten - dann braucht es natürlich einen Identitätsnachweis. Für letzteres fallen mir aber keine Anwendungsfälle ein, in denen irgendwer tatsächlich S/MIME verwendet. Ist im TKG oder GWG auch nicht vorgesehen.
Es geht bei der Identitätsfeststellung eher darum, ob auch wirklich Du diese Mail geschrieben hast, an Kommunikationspartner die Dich kennen.
Oder schickst Du persönliche Daten (weshalb wir ja Verschlüsselung nutzen wollen) an Dir unbekannte?
Edit:
Als Identitätsnachweis kenne ich nur das eID Verfahren mit einer Qualifizierten Signierung auf einem PDF Dokument was europaweit akzeptiert wird.
PGP Signaturen kann man auch beglaubigen lassen von der Governikus GmnH mittels eID Verfahren.
Email enthält immer persönliche Daten, zumindest Sender und Empfänger. Und ja ich schreibe viele Mails auch an Leute die ich nicht persönlich oder auch gar nicht kenne. Und das ohne PGP und S/MIME, weil das in meinen Augen keinen Sicherheitsgewinn bringt, aber das kann ich auch deswegen schreiben, weil zumindest mein Emailserver meine Sicherheitsanforderungen erfüllt…
Identitätsfestellung spielt dabei fast nie eine Rolle oder findet dann meist konventionell auf dem Postweg statt.
Es geht dabei ja nicht nur um die Verschlüsselung, sondern auch um die Signatur der Emails. Ich zumindest empfinde es als Mehrwert, wenn der Empfänger meiner Email anhand meiner Signatur erkennen kann, dass die Mail auf dem Weg nicht verändert wurde. Darüber hinaus kann er mir mit meiner Signatur auch direkt verschlüsselte Mails senden. Und die E2E Verschlüsselung bietet mir zusätzlich den Vorteil, dass ich und mein Kommunikationspartner relativ drauf pfeifen können, ob wir dem Mailserver vertrauen…
Ein objektiver Sicherheitsgewinn ist definitiv vorhanden.
