Moin moin,

Edit: Entwarnung! 6772274

ich habe heute mal wieder meinen Mail-Client gewechselt und mußte beim Importieren meines Thawte-S/MIME-Zertifikats feststellen, daß Thunderbird 2.0.0.16 – anders als alte Thunderbirds – die für die Verifizierung nötige „Thawte Personal Freemail Issuing CA“ nicht mitbringt. Dafür hat er ein Zertifikat für „Thawte Personal Freemail CA“ (ohne „Issuing“) mit dabei.

Hat hier irgend wer eine Ahnung, weshalb das so ist? Wechselt Thawte auf das zweite Zertifikat, für die Zertifizierung der Freemail-Dinger, oder was soll das? Mein Thawte-Zertifikat ist noch vom März. Und im Netz kann ich nix finden.

Wenn Thunderbird mittlerweile tatsächlich nicht mehr out-of-the-box mit Thawte Freemail klar kommt, werde ich mich nach einer Alternative umsehen müssen. Nichts ist schlimmer, als wenn der Empfänger einer digital signierten Mail zig Warnmeldungen bekommt, weil das notwendige CA-Zertifikat nicht im Client mit dabei ist.

Cheers,
-Sascha

Sicher das es mal eingebaut war? Ich finde keine Änderung bei der es entfernt wurde.

http://bonsai.mozilla.org/cvslog.cgi?file=mozilla/security/nss/lib/ckfw/builtins/certdata.txt&root=/cvsroot

Sicher das es mal eingebaut war? Ich finde keine Änderung bei der es entfernt wurde.

http://bonsai.mozilla.org/cvslog.cgi?file=mozilla/security/nss/lib/ckfw/builtins/certdata.txt&root=/cvsroot
Ich weiß nur, daß meine Thunderbird-Kontakte die vorm letzten Update keine Probleme mit meiner Signatur hatten, jetzt ein „could not verify“ bekommen, wenn ich ihnen eine Mail zuschicke. Dann habe ich Thunderbird selbst installiert, und nun ja, das Zertifikat fehlt tatsächlich. :(

Cheers,
-Sascha

Okay, ich habe was auf der Verisign-Homepage gefunden:

VeriSign strongly recommends that applications trust the root CA and not the intermediate CA when performing client authentication.

Und in Thunderbird wird eine Kaskade angezeigt, in deren Mitte eben das Issuing-Zertifikat sitzt. Vielleicht hat Thunderbird da etwas an den S/MIME-Einstellungen geändert, bei den letzten Updates? Also, daß es NICHT mehr dem Root-Zertifikat folgt, sondern das Mittler-Zertifikat haben will? Oder anders gesagt – das Issuing-Zertifikat war gar nie mit dabei, aber früher reichte das Root-Zertifikat?

Cheers,
-Sascha

Okay, ich hab’s gerade mit dem 60-Tage-Gratis-Zertifikat von VeriSign ausprobiert: Dasselbe Problem. Das Zertifikat wurde mit „VeriSign Class 1 Individual Subscriber CA - G2“ signiert, aber das fehlt bei Thunderbird.

Ich glaube, ich versuch’s mal mit einer kompletten Neuinstallation von Thunderbird. Kann ja nicht sein, daß er mit den beiden größten Anbietern für Zertifikate nicht arbeiten will …

Cheers,
-Sascha

Edith sagt: Neuinstallation (mit neuem Profil, neuen Präferenz-Dateien und so weiter) ändert nichts daran: Thunderbird kommt per Default weder mit Thawte- noch mit VeriSign-Zertifikaten klar. Kann sie nicht verifizieren. :(

Okay, noch etwas experimentiert:

Thunderbird 1.5 (war noch auf dem PC meiner Frau installiert – nein, sie verwendet nur Webmail, keine Bange ;)) hatte das Thawte-„Issuing“-Zertifikat nicht installiert. Sephi, Du hattest recht. :)

Aber:

Wenn ich eine Mail, die mit meinem Thawte-Zertifikat unterschrieben wurde, an die Frau schicke, wird die Signatur in Thunderbird 1.5 als gültig angezeigt – und plötzlich ist die Issuing-CA auch in Thunderbird installiert.

Also alles nicht so wild? Funktioniert trotzdem?

Cheers,
-Sascha

P. S. Dasselbe Spielchen mit dem Gratis-Cert von VeriSign: Wird beim Empfänger als gültig angezeigt, und offenbar lädt schon Thunderbird 1.5 automatisch das Intermediate-Cert runter, um die eigene Signatur zu verifizieren. :)

Ja, öhm, du kannst es mal im Support Forum (http://forums.mozillazine.org/viewforum.php?f=39) oder in der News Group (http://groups.google.com/group/mozilla.support.thunderbird/) probieren/nachfragen, wieso das nun so ist. Zu guter letzt bleibt Bugzilla (https://bugzilla.mozilla.org/).

Aber mal ganz blöd gefragt: woher weiß denn Thunderbird, dass das Issuing Zertifikat vom Root CA ausgestellt wurde, wenn es das Issuing Zertifikat nicht kennt?

Das frage ich mich auch. Aber eben, so ist es gelaufen. Ich kann mir nur vorstellen, daß im persönlichen Cert das Itermediate-Cert mit drin steht (klar, das hat’s ja immerhin verifiziert), und dann irgend wie Rückschlüsse auf das Root-Cert gezogen werden.

Jedenfalls habe ich in Bugzilla einen Eintrag gefunden, wonach in Zukunft auch beim Installieren eines persönlichen Zertifikats in Thunderbird die Intermediate-Certs runtergeladen werden sollen. Also scheint es da einen Mechanismus für zu geben.

Daß der oben erwähnte Bekannte maulte, daß er ein „not trusted“ bei meinen Mails bekommen hat, scheint eine andere Baustelle zu sein. ;(

Cheers,
-Sascha