Update 25.02.2019: There are here a new articleas this article is no longer valid.
Update 29.01.2019: See note/update at the end of the article. DGNcert is not stored as a trusted certification authority in Windows as I claimed. Therefore, please read the update at the end of the article first and then the comments.
Comodo used to be a reliable provider of free S/MIME certificates for email signing and encryption. Comodo then became Sectigo and no longer offers free S/MIME certificates:
I have been using an S/MIME certificate from Comodo, but this is about to expire. I therefore looked around for a new provider for free S/MIME certificates. I found what I was looking for at DGNcert:
The DGN offers free S/MIME certificates, which are issued just as easily as the old Comodo certificates. Here is a self-experiment to request a free S/MIME certificate from the DGN:
Of course, a few personal details must be provided, which can be found on the certificate.
The cell phone number is required to send the password for the private key. This means that the private key is generated on the DGN servers. It is therefore not possible to trace what happens to the generated private key. If it were assumed that DGN stores the generated private key, the provider would be able to decrypt encrypted emails:
The S/MIME certificate request is completed quickly after entering the data:
In my case, a corresponding e-mail landed in my mailbox a short time later:
After clicking on the confirmation link, I received the password directly by SMS and was able to request the certificate:
The DGN now generates the public and private key and offers both for download a short time later:
I was then able to download the certificate directly as a P12 file. The password was sent to me directly by SMS. This is what the generated certificate looks like:
It was issued by the SubCA "dgnservice CA 2 Type E:PN " which was signed by the RootCA "dgnservice Root 7:PN":
Both CAs are already in the Windows certificate store and are recognized as trustworthy, here is the certificate of the intermediate CA:
And here is the certificate of the root certification authority (root CA):
For individual S/MIME certificates, the DGN certificates are therefore a good free replacement for the Comodo certificates.
Update 29.01.2019: Thanks to the comments, it has come to my attention that I have made a false statement here.
DGNcert is by no means included as a trusted certification authority in Windows. The certificates of the CA are added during the creation of the S/MIME certificate. This means that an S/MIME certificate is valid on your own computer, but not for the recipient.
Although you can obtain a free S/MIME certificate from DGNcert, this may be just as trustworthy from the recipient's point of view as a self-created S/MIME certificate (in principle not at all). Although signed and encrypted emails can be exchanged, the recipient will receive a warning.
The better way is to request a free S/MIME certificate from Comodo, which is still available.
I apologize for this mistake and promise to do better in the future. Thank you for your comments, without which I probably wouldn't have noticed my mistake!
Update 19.02.2019Unfortunately, the new owner of the Comodo CA (Sectigo) no longer offers free S/MIME certificates. I will have a look to see if there is an alternative provider.
Update 25.02.2019: There are here a new articleas this article is no longer valid.
NSP sperrt bei mir DGNCert-Mails, die mit diesem DGN Zertifikat eingehen, weil die Sperrliste fehlt.
Suche grad ne Lösung.
Verschlüsselt senden an mein GMX-Postfach (mit eigener Mail-Domain) klappt aber schon mal.
Hallo zusammen,
ein seriöser Partner für die Erzeugung kostenfreier Zertifikate ist der italienische Web-Hosting-Provider Actalis.
https://extrassl.actalis.it/portal/uapub/freemail?lang=en
Ich habe es gerade noch genutzt und funktioniert auch.
Beste Grüße
Konstantin Gall
Signierungs-CA durch „Actalis“, welche keine Stammzertifzierungsstelle in Windows-10 ist.
Nein und Nein :-/ leider nicht.
SMIME-Zertifikate kosten eigentlich immer Geld. Ich hoffe ja, dass Lets Encrypt auch mal SMIME-Certs ausstellt aber aktuell leider nicht. Ist aber auch nicht so einfach, denn man muss ja selbst aktiviert werden und sollte den privaten Key auf jeden Fall beibehalten. Ich will in meinem Keyring nicht allen Monate ein neues Keypaar haben um meine gesendeten Mails zu lesen.
Exchange kann serverseitig kein SMIME. Man kann es nur mit Outlook auf dem Client machen (ist aber unpraktisch wenn man mehrere Clients nutzt). Dafür gibt es SMIME-Gateways, die aber Geld kosten. Wobei man da auch vielleicht genau hinschauen sollte, da die dann ja alle „privaten Keys“ haben.
Hallo Zusammen,
gibt es auch kostenlose Zertifikate für kleine Unternehmensgruppen bis 30 Mitarbeiter und kann so ein zertifikat dann in die Exchange umgebung integriert werden damit die abgehenden Mails automatisch Signiert sind?
Gruß
Daniel
Als Alternative bietet sich noch https://volksverschluesselung.de/ an. Ich habe damit bisher sehr gute Erfahrungen gemacht und es ist auch für nicht so versierte Anwender sehr einfach sich ein Zertifikat erstellen zu lassen und dies dann über die Software von denen überall passend zu installieren.
https://www.cacert.org/index.php?id=0&lang=de bietet kostenlose S/MIME-Zertifikate an.
Die können jeweils um 2 Jahre verlängert werden.
Nachteile:
Man muss sich registrieren und einmalig durch typischerweise zwei Assurer persönlich ausweisen.
Das Stammzertifikat ist nicht in den üblichen Zertifikatsspeichern enthalten.
Hallo all,
auf die bin ich per Zufall gestoßen, ein italienischer Anbieter, man kann die relevanten Seiten auch auf englisch schalten.
Die Certs sind von Actalis und die CA ist aber mind. Windows 7 bekannt. Dazu dann Linux Distros.
E-Mail eingeben, absenden. Die Formularseite bleibt offen.
Man erhält einen Schlüssel, den man auf der immer noch offenen Formularseite eingibt.
Das Passwort für das Zertifikat erscheint auf der Bestätigungsseite, unbedingt notieren.
Das S/Mime Cert kommt per Mail
Die gültigkeit beträgt 1 Jahr
https://extrassl.actalis.it/portal/uapub/freemail
actalis.it erzeugt ebenfalls den Private Key serverseitig und NICHT im Client! Also Finger weg!
Langsam gehen die Optionen für freie S/MIME-Zertifikate aus.
Gruß
Hallo und danke für die Informationen, jedoch hat secorio jetzt wohl doch den Dienst zum free SMIME eingestellt.
Hallo Christian,
ja, leider ist nun der Link zu den kostenlosen S/MIME Zertifikaten von Sectigo offline. Schade, vielleicht wird es ja noch mit ACME in Zukunft möglich sein:
https://datatracker.ietf.org/doc/draft-ietf-acme-email-smime/
Gruß,
Frank
Ja, bei sectigo/comodo (https://secure.comodo.com/products/frontpage?area=SecureEmailCertificate) bekommt man noch freie Zertifikate, aber die sind aber ab heute nur noch 30 Tage gültig. Das macht die Sache unpraktikabel.
Hallo Franky,
der oben genannte Link führt inzwischen zu einer „Page Not Found“ Seite.
Scheinbar wird kein kostenloses S/MIME Zertifikate mehr angeboten.
Gruß
ebenfalls
Frank
Also bei mir kommt beim Versuch das Sectigo Zertifikat zu installieren nur die Meldung: Attempting to collect and install your Free Certificate..und nix passiert
Bernd
Off Topic:
Wie muss ih bei den Zertifikaten vorgehen bei einem Outloo Profil mit 2 Postfächern und zwei Mailadressen?
Gruß
Bernd
Ich bin verwirrt: Im Artikel ist die Rede davon, dass man von Comodo keine S/MIME Zertifikate mehr erhalten kann, nachdem sie aufgekauft wurden. In den Kommentaren ist dann hier aber ein Link, über den man angeblich S/MIME Zertifikate von Secorio bekommen soll, der Link führt aber zu einer Seite wo man von Comodo ein S/MIME Zertifikat erhalten soll…
Soweit ich weiss, ist Lets Encrypt auch dran SMIME bald auszustellen. dann wird es noch mal einfacher. Alle „Kostenfreie CA’s haben absichtlich verschiedene Einschränkungen. Sie müssen sich ja rechnen. Dazu gehört z.B. dass bei einigen kein Renew möglich ist. Man hat also jedes Jahr dann einen neuen Private/Public Key paar und muss die alle ewig mitziehen, wenn man alte empfangene Mails lesen will.
Was bei DGN stört ist weniger die fehlende RootCA sondern dass der private Key bei der CA erstellt wird. Das ist ein No Go und widerspricht allen Überlegungen. Und ne RootCA, die grade mal 5 Jahre gültig ist? Da passt einiges nicht.
Hallo,
also auf meinen privaten Systemen und auch in der Firma ist „dgnservice Root 7:PN“ NICHT im Zertifikatsspeicher drin. Auch das automatische SMIME-Verify der empfangenden Sophos schlägt fehl, weil die CA dort auch nicht existiert.
cu,
Dino
Hallo Dino, Hallo Justin, Hallo Frank,
Schande auf mein Haupt. Ihr habt Recht, DGNcert ist keine TrustedRootCA, somit ist dieser Artikel natürlich falsch!
Dies habe ich erst durch eure Kommentare festgestellt. Ich habe daher den Artikel aktualisiert und entsprechende Hinweise hinzugefügt.
Grüße mit gesenktem Haupt,
Frank
Hey Frank,
ich hab das gerade auch mal probiert. Bei mir wurde die Root CA vom DGN installiert. Vorher war die CA nicht im Zertifikatsspeicher von Windows.
Soll das so? :)
Viele Grüße,
Justin
Über den Link bekommt man immer noch ein kostenloses Zertifikat von secorio:
https://www.instantssl.com/ssl-certificate-products/free-email-certificate.html –> GET NOW
Bei secorio.de besteht noch immer die Möglichkeit, die kostenlosen S/MIME Zertifikate zu bekommen.
Lieber Franky, vielen Dank für diesen Tipp (und für alle anderen hilfreichen Blogbeiträge in der Vergangenheit!). Deine Beiträge haben mir schon soo oft weitergeholfen. :) Weiter so!
Hallo Franky, da kann ich mich nur anschließen. Besten Dank!
Gruß
Hendrik