Welches S/MIME-Zertifikat ?

    Hallo,

    wenn man mit S/MIME signiert, ist es bestrebenswert, ein Zertifikat zu nutzen, dass von möglichst vielen E-Mail-Clients akzeptiert wird.

    So werden beispielsweise Public Keys von TC-Trustcenter von Thunderbird als nicht vertrauenswürdig eingestuft, und können im Store nicht eingelesen werden. Das Zertifikat gilt als nicht vertrauenswürdig, weil das Root-Zertifikat standardmäßig dem E-Mail-Client nicht bekannt ist.

    Die Root-Zertifikate welcher Zertifizierungsstelle (verisign, TC Trustcenter, ...) sind Eurer Erfahrung den meisten E-Mail-Clients bekannt?

    Hintergrund der Frage:
    Unsere E-Mails sollen signierter Weise an viele Privathaushalte gehen. Wenn das Zertifikat aus welchen Gründen auch immer, als nicht vertrauenswürdig gilt, erreichen wir mit einer Signatur genau das Gegenteil von dem was wir wollen. Der Empfänger wird dem Inhalt der E-Mail nicht vertrauen.

    Viele Grüße

    Das ist eine gute Frage bzw. eher ein Problem mit dem ich auch zu kämpfen habe...

    Ich habe ein Zertifikat von TC Trustcenter mit dem ich bei einer von meinen eMail Adressen die eMails signiere und leider ist dieses bei vielen eMail Programmen, auch TheBat!, so, dass das Root-Zertifikat nicht gleich bekannt ist...

    erst nachdem man das Root-Zertifikat installiert hat, gilt die eMail als vertrauenswürdig...

    für mich, der sich mit der Sache auskennt kein Problem, aber wie Du schon sagtest, wenn es an Private geht ensteht evtl. eher das Gegenteil und es wird dem Inhalt nicht vertraut...

    eine Lösung, auch mit einem anderen Zertifikat, habe ich dafür noch nicht gefunden...

    habe auch schon Zertifikate von usertrust.com und CAcert.org im Einsatz gehabt!

    Also ganz generell bin ich für eine breitere Verwendung von Signatur- und Verschlüsselungsmechanismen im Bereich Email. Aber wie DJoTW schon sagte, gerade im Privatbereich ist dieses Thema bisher so gut wie nicht angekommen. Daher ist es ein nicht zu unterschätzendes Risiko, signierte Mails - auch mit den besten Absichten - an Privatleute zu versenden, die nichts damit anfangen können.

    Bei einer unsignierten Mail passiert beim Anwender überhaupt nichts negatives, wenn ein Root-Zertifikat vorhanden ist, auch nicht. Der zusätzliche grüne Haken für "Alles in Ordnung" dürfte den wenigsten auffallen und die allerwenigsten interessieren. Wenn aber kein Root-Zertifikat vorhanden ist, bekommst du im günstigsten Fall unnötige Rückfragen, was denn da falsch sei, im ungünstigeren Fall bleibt Unsicherheit bei den Empfängern zurück, die sich dann allerdings gegen dich richtet, weil die Email ja von dir (bzw. deiner Firma) kommt.

    Du könntest zwar in jede Email nach der Fußzeile noch eine Anleitung einbauen, wie man das benötigte Root-Zertifikat installiert, aber da wird dann schnell die Anleitung länger als die eigentliche Mail. Und den meisten Anwendern dürfte es wohl schwer zu vermitteln sein, weshalb sie auch noch ein Zertifikat installieren sollten. Die Mail ist ja schließlich lesbar.

    Ich weiß zwar nicht, wie die technische Situation bei dir genau aussieht, aber ich würde vermutlich Email-Signierung an Privatpersonen komplett streichen und mich auf die Signierung von Mails an Firmenkontakte beschränken. Bei denen kann dann die Prüfung der empfangende Mailserver übernehmen, der von einem System-Admin betreut wird, der weiß, wie man Root-Zertifikate nachinstalliert. Auch sind in einer Firma die Möglichkeiten, Mitarbeiter in diesem Thema zu schulen und zu sensibilisieren weitaus besser. Und wenn der empfangende Firmenkontakt von Email-Signatur keine Ahnung hat, wird er sich erstmal an seinen Admin wenden. Dann kann der sich darum kümmern und ggf. eine entsprechende technische Möglichkeit aufbauen.
    Und du hast etwas für die Verbreitung von signierten Mails getan!

    Und ein wichtiger Gedanke, der nicht außer Acht gelassen werden sollte: Ein Zertifikat ist wertlos, wenn die zugrundeliegende Infrastruktur nicht perfekt abgesichert ist. Stell dir vor, einer hackt sich in deinen Mailserver und verschickt signierten Spam...