Wird meist aber dennoch abgelehnt mit begründeten Zweifeln, die aber nicht genannt werden.
Prüfen die nur nach wenn die Daten sammeln, nicht aber wenn Du als betroffene Person das Zertifikat zur Identifizierung benutzen möchtest.
Die Webseite funktioniert. Das Fraunhofer kann Stand 10.11.2023 keine Angaben zur Anzahl ausgestellter Zertifikate machen. Klingt nicht nach einem Erfolg.
Dafür sind die Zertifikate aber auch völlig wertlos, denn die CA ist nirgends als vertrauenswürdig hinterlegt. Das sorgt also beim Empfänger für Fehler- und Warnmeldungen.
1 „Gefällt mir“
Das wäre dann genau das Gegenteil von dem was ich erreichen möchte 
Na, wenn Du partout mit Leuten verschlüsselt kommunizieren willst, die zwar in der Lage sind, Dein öffentliches S/MIME-Zertifikat bei sich zu installieren, aber gleichzeitig daran scheitern, eine Warnmeldung zu deuten und dann das nötige CA Zertifikat zu installieren, wirst Du einfach Geld für diesen Wunsch ausgeben müssen und Dir von einem der vielen kommerziellen Anbieter das kaufen, was zu willst.
Interessant für alle ist:
Wer seine E-Mail-Kommunikation mit S/MIME-Zertifikaten sicherer und vertraulicher gestaltet, muss sich seit 1. September 2023 auf Änderungen einstellen. Darauf machen IT-Sicherheitsexperten aufmerksam.
…
Die neuen Baseline Requirements werden als S/MIME-Standard im September 2023 branchenweit in Kraft treten. Über die vier wesentlichen Neuerungen informiert Patrycja Schrenk: »Die neuen S/MIME-Zertifikate dürfen nur noch mit einer maximalen Gültigkeitsdauer von zwei Jahren ausgestellt werden. Wie für SSL-/TLS-Zertifikate muss bei S/MIME-Zertifikaten zukünftig die Kontrolle über die verwendete Domain nachgewiesen werden.
Quelle: https://ap-verlag.de/wie-beantrage-und-installiere-ich-s-mime-zertifikate/83652/
1 „Gefällt mir“
Hab mich neulich schon gewundert, warum man die Zertifikate nur noch für 2 Jahre ordern kann. Ich habe meines glücklicherweise noch im Juli 2023 für 3 Jahre erneuert.
Diese Aussage macht keinen Sinn. Installieren muss man da gar nichts. Wenn man eine signierte Mail erhält, dann importiert der Mail-Client das Zertifikat automatisch. Dafür muss man nichts tun.
1 „Gefällt mir“
Das wundert mich. Würde denn ein (geschäftliches) Outlook / Exchange das Volkszertifikat einfach importieren und anerkennen?
Nein, weil das Zertifikat ungültig ist. Ungültige Zertifikate zu importieren macht keinen Sinn.
Mein Bauchgefühl sagt mir, dass damit das Thema S/MIME Zertifikate außerhalb des Firmenumfelds damit endgültig gestorben sind, da die meisten Benutzer ja Mailadressen von großen Mailprovidern haben.
Wenn die Mailprovider ihrerseits keine Verfahren zur Domain-Validierung von S/MIME-Zertifikaten vorsehen, hat mal als Benutzer verloren, selbst wenn man S/MIME einsetzen wollte.
Schade, ich war gerade dabei mich damit zu beschäftigen S/MIME und E-Mail-Verschlüsselung wieder eine Chance zu geben.
1 „Gefällt mir“
Also der Nachweis sieht so aus: man muss sein E-Mail Adresse angeben, dann bekommt man eine Email zugeschickt und danach gilt die Adresse als bestätigt. Das sollte für jeden machbar sein.
So läuft es zumindest bei Actalis. Dort gibt es auch ein kostenloses Zertifikt, das 1 Jahr gültig ist.
Die Registrierung war ziemlich einfach .
Schwieriger ist hingegen die Einrichtung im Mail Programm… daran bin ich gescheitert.
Hier gibt es zwar eine Anleitung für KMail: https://wiki.ubuntuusers.de/KMail/Verschlüsselung/
aber die scheint veraltet zu sein 
In der Hilfe in dem in der Anleitung angegeben Kryptographie Fenster steht auch nichts nützliches.
Das ist aber leider auch ziemlich wertlos, da es keine Sicherheit bietet. Bei Actalis wird das komplette Zertifikat inkl. Private Key auf dem Server des Anbieters generiert und dir danach zum Download angeboten. Wenn der private Schlüssel nicht privat ist, kann man sich das ganze sparen.
Es bietet schon Sicherheit, da vermutlich selbst wenn der Anbieter Actalis den privaten Key aufhebt und vielleicht sogar weiter gibt, die Anzahl der Leute die den Key nicht haben größer als die Anzahl der Leute die den Key haben ausfallen wird.
Die Frage ist daher nur, gegen wen willst Du Dich mit E-Mail-Verschlüsselung schützen?
Ich habe auch ein Actalis Zertifikat, nur vermute ich, dass nach Galagas Zitat den Regeländerungen für das Ausstellen von S/MIME Zertifikaten, dass so nicht mehr möglich sein wird.
Würde mich freuen wenn es anders wäre. Ich vermute jedoch, dass die CA vor der Ausstellung eines Zertifikates um die Hinterlegung eines TXT Eintrags in der DNS-Zone zu der Maildomain fordern wird. Wenn man dann keine entsprechende eigene Domain hat, wird es schwer entsprechende Anpassungen an der DNS-Zone vornehmen zu lassen um ein Zertifikat zu erhalten.
Hat jemand schon versucht nach September 2023 ein Zertifikat auf seine Mail-Adresse eines Mailproviders (mailbox.org, posteo.de, gmail.com, icloud.com, …) ausstellen zu lassen? Mein Zertifikat läuft noch.
Das sehe ich auch so. Ein Angreifer müsste nun ja sowohl Zugang zu meinen Mails haben als auch zu dem Schlüssel bei Actalis.
Ich vermute sehr stark, dass das nicht gerade viele sein werden und die, die das tatsächlich schaffen, die werden sich nicht für meine Mails interessieren.
heute ging es noch, mein Zertifikat ist brandneu
Nur kann ich es nicht nutzen, weil ich es nicht ins Mailprogramm bekomme…
Danke für die Information, dass Actalis noch Zertifikate ausgestellt bekommt.
Was für ein E-Mail-Programm nutzt Du denn, welche Schritte unternimmst Du für den Import und was für ein Fehlerbild / Fehlermeldungen hast Du wenn der Versuch das Zertifikat zu importieren fehlschlägt?
Vielleicht hat jemand hier ja dieselbe Kombination oder könnte das versuchen nachzustellen.
Hey,
ich verwende KMail und es funktioniert bis zu diesem Punkt in der Anleitung
https://wiki.ubuntuusers.de/KMail/Verschlüsselung/
Unter „Einstellungen → KMail einrichten → Identitäten“ die Identität markieren, deren Einstellung man ändern möchte. Nach
auf „Ändern“, öffnet sich der Dialog „Identität bearbeiten“.
Danach sieht das Menü bei mir anders aus.
Dort gibt es zwar den Reiter Kryptographie und eine Auswahl für S/MIME Zertifikat aber wenn ich darauf klicke steht dort „Kein Schlüssel“
So wie Du das beschreibst, erwartet KMail anscheinend, dass die Zertifikate schon in Deinem Schlüsselbund (wenn der so in KDE heißtI) gespeichert ist. In der verlinkten Anleitung heißt es, dass es eine grafische Anwendung zur Schlüsselverwaltung namens Kleopatra gibt. Schau doch mal, ob Du in dieser das Zertifikat importieren und dann in KMail auswählen kannst.
In Kleopatra habe ich es auch schon versucht, dort kommt beim Importieren die Fehlermeldung „Ungültiges Objekt“
Im Protokoll steht dann Keine gültige OpenPGP-Datei gefunden, was nachvollziehbar ist, weil es ein S/MIME Zertifikat ist.
Erkläre mal bitte, was du genau machst. Am Besten mit Fotos. So kann man es leider nicht wirklich nachvollziehen und dir helfen.
Als erstes habe ich es in KMail versucht, dazu habe ich den Punkt:
Einstellungen > KMail Einrichten
gewählt.
Dort kommt dann das Menü vom Screenshot
dort wähle ich die Identität und klicke auf Ändern
Danach kommt ein neues Menü
in dem wähle ich den Reiter Kryptografie. Dort ist dann das Problem, dass ich "keinen Schlüssel auswählen kann.
KMail arbeitet irgendwie mit Kleopatra zusammen, daher habe ich Kleopatra geöffnet.
Dort sieht man ein am Rechner erstelltes PGP Zertifikat aber nicht das S/MIME Zertifikat. Darum klicke ich auf „Importieren“
Wenn ich dann das S/MIME Zertifikat auswähle, werde ich nach dem Passwort gefragt und danach kommt die besagte Fehlermeldung.
Die Fehlermeldung „Ungültiges Objekt“ ist natürlich nicht wirklich sprechend. Da ich kein KDE/Linux im Einsatz habe, kann ich das selbst nicht testen.
Ich würde an Deiner Stelle einmal versuchen Thunderbird testweise zu installieren und hier das Actalis Zertifikat zu importieren. Es gibt eine Vielzahl an Anleitung zum Beispiel von Universitäten wie man dieses vornimmt. z. B.
https://www.uni-marburg.de/de/hrz/az/digitale-zertifikate/anleitung-thunderbird
Hierüber könntest Du abgleichen, ob es ein Problem mit der Zertifikatsdatei(-format) oder Kleopatra/KMail ist.
Nur so eine Idee um sich dem Problem zu nähern bzw. dieses einzugrenzen.
1 „Gefällt mir“