Tipp: Kostenloses S/MIME Zertifikat (Neu!)

In meinem letzten Artikel zu einem kostenlosen S/MIME Zertifikat für das Signieren und Verschlüsseln von E-Mails, ist mir ein blöder Fehler unterlaufen. Im letzten Artikel hatte ich die CA DGNCert empfohlen, welche zwar kostenlose S/MIME Zertifikate anbietet, jedoch ist die CA selbst nicht als “Vertrauenswürdige Stammzertifizierungsstelle” in Windows hinterlegt. Solange also nicht manuell das Stammzertifikat von DGNCert in den Speicher für “Vertrauenswürdige Stammzertifizierungsstelle” hinterlegt wird, gelten die Zertifikate als nicht vertrauenswürdig.

Ich hatte nicht bemerkt, dass sich die CA DGNCert erst beim Erstellen des S/MIME Zertifikats als “Vertrauenswürdige Stammzertifizierungsstelle” einträgt und nicht wie angenommen bereits vorhanden ist.

Ich musste daher meinen ursprünglichen Artikel widerrufen und eingestehen, dass mir hier ein Fehler unterlaufen ist. Dank der Kommentare zum ursprünglichen Artikel ist mir dies überhaupt erst aufgefallen. Ich möchte mich daher an dieser Stelle noch einmal für die Kommentare bedanken, ohne die mir mein Fehler wahrscheinlich gar nicht aufgefallen wäre.

Am 19.02.2019 musste ich den ursprünglichen Artikel allerdings wieder aktualisieren, da nun auch der alternative Link aus den Kommentaren offline geschaltet wurde und nur noch eine 404-Seite liefert. Sectigo, der neue Eigentümer von Comodo bietet nun also keine kostenlosen S/MIME Zertifikate mehr an.

Ich hatte allerdings versprochen, mich auf die Suche nach einer Alternative für kostenlose S/MIME Zertifikate zu begeben. Ich bin auch fündig geworden und habe nun auch besser aufgepasst, daher gibt es nun eine neue Version des Artikels.

Bei Actalis bin ich schließlich auf ein kostenloses S/MIME Zertifikat aufmerksam geworden:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Actalis offers S/MIME certificates trusted on all major platforms and supported by e-mail applications conformant to the S/MIME standard. Thanks to Actalis S/MIME certificates you can make your email really secure, regardless of the features of the email service you use. Actalis provides different S/MIME certificate services according to different applicable policies. See below the essential information about the services available to date.

Aus Fehlern lernt man ja bekanntlich, daher habe ich nun vorab geprüft, ob sich ein entsprechendes Zertifikat von Actalis im Speicher für vertrauenswürdige Stammzertifizierungsstellen befindet:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Auf meinen Windows 10 Rechner ist ein Zertifikat für die “Actalis Authentication Root CA” vorhanden, daher habe ich ein S/MIME Zertifikat angefordert:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Auf den Verification Code per Mail musste ich etwas warten, dieser kam bei mir nach ca. 15 Minuten an. Der Verification Code aus der Mail muss nun kopiert werden:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Der Verification Code wird dann im Formular eingetragen:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Die nächste Seite zeigt nun das Passwort für die PFX-Datei an. Dieses Passwort sollte man an einem sicheren Ort aufbewahren:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Kurze Zeit später schickt Actalis das Zertifikat per Mail. Die PFX-Datei ist mit dem Passwort geschützt welches die Webseite im letzten Schritt angezeigt hat (siehe Kritik):

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Die PFX-Datei kann nun importiert werden und somit ist man im Besitz eines gültigen S/MIME Zertifikats:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Das S/MIME Zertifikat wird von der Sub-CA “Actalis Client Authentication CA G1” ausgestellt, diese CA wurde wiederum von der Actalis Authentication Root CA” signiert, welche sich im Speicher für vertrauenswürdige Stammzertifizierungsstellen von Windows befindet.

Kritik

Der große Knackpunkt an den S/MIME Zertifikaten von Actalis ist, dass der Private Key auf den Servern von Acatlis erstellt wird. Wenn Actalis den privaten Schlüssel speichert, ist die Firma prinzipiell in der Lage die verschlüsselten Mails zu entschlüsseln. Da der private Schlüssel (wie der Name schon sagt) in diesem Fall eben nicht privat ist, sondern vom Anbieter erstellt wurde, muss man hier schon dem Anbieter Actalis entsprechendes Vertrauens entgegen bringen. Hier kann ja jeder selbst entscheiden, es gibt ja schließlich auch andere CAs die S/MIME Zertifikate ausstellen, diese sind dann allerdings kostenpflichtig.

Falls jemand noch andere CAs kennt, die kostenlose S/MIME Zertifikate ausstellen, dann schickt mir doch einen Hinweis oder Kommentar und ich veröffentliche es entsprechend.

116 Gedanken zu „Tipp: Kostenloses S/MIME Zertifikat (Neu!)“

  1. Bin auch gerade auf der Suche. DGN Zertifikate (kostenlose) gibt es wohl im Moment nicht. War ganz zufrieden damit. Comodo bietet schon noch kostenlose S/Mime Zertifikate an (https://www.comodo.com/home/email-security/free-email-certificate.php), habe aber noch keines bestellt. Sectigo (einer der günstigsten Anbieter) ist für Anfänger nicht zu empfehlen, da ein CSR selbst erstellt werden muss, deren Wissensdatenbank dabei nicht hilfreich ist, wenn man das noch nie gemacht hat und ich nach jetzt 36 Std wieder eine Antwort über den Chat noch auf eine Supportanfrage bekam.

    Antworten
  2. Hat noch wer ne alternative? Man braucht jetzt nen Account um weiterhin kostenfreie SMIMEs zu erhalten und dafür wiederrum eine Document Number. Kp wo man die herbekommen soll.

    Antworten
  3. Leider werden die Zertifikate von Actalis vom Acrobat Reader als fehlerhaft abgestempelt, da die Zertifikate keine Funktion zur Signierung von Dokumenten haben. Ich sehe als Fehler:
    Das gewählte Zertifikat ist fehlerhaft: Ungültige Richtlinienbeschränkung.

    Kann jemand ein kostenloses Document Signing Certificate empfehlen?

    Antworten
  4. Ergänzung zu meinem Kommentar von Oben, X’ter Versuch da diese dämliche Webseite meine kommentare nicht anzeigt:

    1) es hat nach Ablauf geklappt
    2) Webseite von Actalis war sehr sehr langsam, nicht die Geduld verlieren nach dem Klick auf den Knopf und einfach warten

    Antworten
  5. Ich kriege von Actalis auch permanent Erinnerungen dass mein Zertifikat bald ausläuft. Aber verlängern oder neu ausstellen geht nicht:
    „L’utente ha già un certificato per l’anno in corso“ = „The user already has a certificate for the current year.“

    Bin ja mal gespannt ob es denn endlich geht wenn es wirklich ausgelaufen ist, ist in gut einem Tag soweit.

    Antworten
  6. Hallo, ich kann kein Zertifikat mehr erzeugen, weil das Recaptcha nicht angezeigt wird. Egal, welchen Browser ich verwende, egal ob Festnetz oder Mobile Internet-Verbindung. Es wird nicht angezeigt. Hat irgendjemand das Gleiche Problem?

    Antworten
  7. Ich habe seit knapp einem Jahr ein Actalis Cert in Verwendung (macOS, iOS, Win10/Thunderbird). Hat ziemlich viel Zeit gekostet das auf den verschiedenen Systemen an den richtigen Stellen zu hinterlegen und dann zu aktivieren, aber seither laeufts.

    Nachdem mein Cert Ende des Monats auslaeuft, wollte ich heute ein neues ausstellen lassen – allerdings bekomme ich die Meldung „The user already has a certificate for the current year“. Schade, das heisst wohl ich muss erst warten bis es komplett ausgelaufen ist bevor ich ein Neues bekomme.

    Antworten
    • Geht mir genauso. Allerdings IST mein Zertifikat abgelaufen, daher denke ich, die Meldung ist wörtlich zu nehmen: The user already has a certificate for the CURRENT YEAR. Das Zertifikat hatte Gültigkeit in 2021 – also kannst Du erst 2022 das nächste backen – welches bis 2023 lief, also das nächste 2024 …

      Ich glaube, die brauchen eine Mail von mir. :-)

      Antworten
  8. Hallo zusammen,

    ich habe noch eine weitere Plattform für Kostenlose S/Mime Zertifikate gefunden. https://wiseid.com/
    Leider wird das Zertifikat nur für 3 Monate ausgestellt, dafür ist der Trust sofort verfügbar und muss nicht händisch eingerichtet werden.

    Antworten
  9. For what it’s worth, https://www.actalis.it/documenti-it/caact-free-s-mime-certificates-policy.aspx states

    3.2.2 Proving possession of private key
    The private cryptographic key corresponding to the public key within the certificate is generated by
    the CA (with a suitable algorithm, size, etc.) and subsequently sent to the subscriber in PKCS#12 format [PFX], via email, thereby insuring that the subscriber does possess the private key.
    The CA does not retain the Subscriber’s private key after having sent it to the Subscriber.
    The password needed to import the PKCS#12 file is provided to the Subscriber out-of-band (via web,
    over a secure TLS channel), therefore protecting it from unwanted disclosure to third parties. The CA
    does not retain such password; therefore, the legitimate Subscriber – assuming that he/she keeps
    such password confidential – remains the only person able to decrypt the PKCS#12.

    if true, but sending a private key via email? Ironic, yes?
    I’m in agreement with Andreas’s comment on 24-January…

    Antworten
  10. Hallo,

    ich habe heute Actalis ausprobiert, und war überrascht dass das Zertifikat nun doch ein Jahr gültig ist.

    Aber wie schon von mehreren angesprochen: Gernerierung des Private Key auf dem Server ist unsicher. Trotzdem eignet sich Actalis meiner Meinung nach um um Gefühl für S/MIME zu bekommen, bevor man sich einen kostenpflichtigen Schlüssel lädt. CERTUM mit 22,50€ für 3 Jahre ist aber ein guter Preis.

    Antworten
  11. Hallo Zusammen,

    ich möchte das Thema kostenpflichtiges S/MIME-Zertifikat noch einmal aufgreifen, dass hier schon einmal erwähnt wurde.

    Gesucht ist ein Zertifikat, dass Name, Email-Adresse und Organisation bestätigt und das, zu einem angemessenen Preis (z.B. 100.–200.- EUR/3-Jahre Gültigkeit).

    Momentan habe ich Certum („Certum E-mail ID Business (S/MIME)“) und QuoVadis/digicert („Secure E-Mail Zertifikat“) gefunden, SwissSign bietet nur noch die Email-Bestätigung („E-Mail ID Silver“) zum Einzelbezug an. Der Erwerb eines Zertifikates für Name/Organisation/Email („E-Mail ID Gold“) kann bei SwissSign nur noch im Rahmen eines „managed PKI“-Services bezogen werden.

    Habt ihr schon Erfahrungen mit Certum oder digicert gesammelt?
    Wo wird der Private Key erzeugt?
    Was gilt es zu berücksichtigen, wenn ein Anbieter aus PL oder US gewählt wird?
    Kennt ihr weitere Anbieter, die ein vergleichbares Angebot haben? Die Preise bei den o.g. liegen unter 100.- EUR für eine dreijährige Gültigkeit.

    Die genannten Anbieter werden (Stand: Heute) in der Liste der vertrauenswürdigen Root-Zertifikate in iOS 12/macOS 10.14 aufgeführt.

    Antworten
  12. Das Problem mit der Volksverschlüsselung ist, dass deren Root-Zertifikat nicht sehr weit verbreitet ist und in den meisten Fällen vom Empfänger zunächst manuell installiert werden muss, was in der Regel mindestens zu Verwirrung bei technisch nicht so versierten Menschen führen dürfte.

    Antworten
  13. Actalis hat den Zeitraum für die Neuausstellung verringert:
    Dear customer, We inform you that, contrary to what we stated in the previous email, you need to reissue any Actalis Free S/MIME certificates by 30 September 2020.

    Antworten
  14. Da ich über Frankys Web darauf aufmerksam wurde, dass es kostenlose SMIME Zertifikate gibt, erreicht mich mich heute folgende Mail:

    Dear Customer,

    We inform you that, in order to ensure compliance, all Actalis S/MIME certificates issued before 13 July 2020 with SubCA G2 need to be reissued as a matter of urgency.

    This needs to be done no later than 30 October 2020.

    As a precautionary measure following an incident involving a large number of CAs including Actalis all publicly trusted Actalis SSL Certificates, including free S/MIME Certificates, have already been issued by new Intermediate CAs (the new intermediate CA for S/MIME certificates are indicated on the Actalis website).

    As required by CAB Forum rules, all CAs involved in said incident are revoking, or are planning to revoke, the affected intermediate CA certificates, which will invalidate all the end-entity certificates they have issued. Therefore, to avoid disruption of services, all Subscribers are urged to replace their certificates with new ones, issued by new intermediate CAs.

    A new S/MIME certificate, to replace the current one, must be requested by following the free procedure available on the website actalis.it.

    Please do this within a few days of receiving this message and in any case no later than 30 October 2020. After this date, we will automatically revoke the old certificates.

    We apologize for any inconvenience, and would like to thank you for your cooperation. Please contact us if you need anything via the support channel you normally use.

    Kind regards

    Actalis S.p.A.
    Trust Services Support

    Antworten
  15. Hallo Franky, hallo alle anderen,

    erst mal vielen Dank an Franky für diesen Hinweis bezüglich kostenloser S/MIME Zertifikate. Sehr hilfreich!!!
    Da hier immer wieder das Thema „privater Schlüssel wird vom Anbieter erzeugt“ aufkommt, folgende Anmerkung dazu:
    Bei ACTALIS könnt Ihr diesen Schlüssel (CRP) nachträglich ändern.
    Hierfür benutzt Ihr den Link aus der Mail (https://extrassl.actalis.it/portal/). Dort logt Ihr Euch mit den Daten aus der Mail ein. Dann geht Ihr in die „Personal Area“, dann auf „Settings“. Hier findet Ihr „Change your CRP“. CRP ändern, Zertifikat nochmal herunterladen, fertig ist der Lack.

    Ich hoffe, ich konnte dem einen, oder anderen helfen.
    Schöne Grüße aus Köln

    Antworten
    • Das muss wohl ein Missverständnis sein. Was man da ggf. ändern kann ist das Passwort, mit dem das Zertifikat verschlüsselt wurde.
      Der private Schlüssel ist das Herzstück der Zertifikats. Der kann nicht geändert werden, ohne dass das Zertifikat ungültig wird. Denn dann kann man damit nichts mehr entschlüsseln, was mit dem öffentlichen Schlüssel verschlüsselt wurde.

      Antworten
  16. Hallo zusammen,
    auch ich war lange Zeit auf der Suche nach kostenlosen E-Mail-Zertifikaten.
    Nach langem suchen und ausprobieren war ich dann irgendwann doch erfolgreich.
    Das Schweizer Unternehmen WiseKey ist noch ein Anbieter von kostenlosen 1-Jahres-Zertifikaten. Ein Nachteil bei diesem Anbieter ist leider, das man für jede E-Mail-Adresse einen Account anlegen muss. Dies kann natürlich bei vielen E-Mail-Adressen sehr unübersichtlich werden wenn man Pech hat. Aber wie sage ich immer so schön: Einen Tod muss man sterben. Noch habe ich nichts negatives gefunden über die Firma (Speicherung des privaten Schlüssels, Hacker-Angriffe etc.). Wer es also probieren möchte, kann sich unter account.wisekey.com einen kostenlosen Account anlegen. Nach der Bestätigung der E-Mail-Adresse kann man sich unter seinem Account im Reiter Digital Identities sein Zertifikat erstellen lassen welches man dann herunterladen kann. Wichtig anzumerken ist, das man vorher sich ein starkes Passwort vergeben muss, welches dann auch für das installieren auf dem PC benötigt wird.
    Also viel Spaß beim probieren. Wenn jemand eine gegenteilige Info hat, wäre es gut, wenn er es veröffentlichen würde.

    Antworten
    • Wenn dasselbe Passwort für deren Account Anmeldung und für die Installation der erzeugten digitalen Identität verwendet wird, deutet dies darauf hin, dass dieses Passwort auf deren Server gespeichert wird. Das wäre ein K.O. Kriterium für deren Seriösität.
      (Selbst eine Speicherung in Session-Daten dort wäre nicht in Ordnung.)

      Antworten
  17. Du sagst es:
    >Der große Knackpunkt an den S/MIME Zertifikaten von Actalis ist, dass der Private Key auf den Servern von Acatlis erstellt wird.

    Damit ist das leider komplett wertlos!

    Antworten
  18. Ich hab es seit gestern mehrfach versucht. Bekomme immer beim Verifizieren die Meldung „An internal error occurred“. Hoffe mal das ist nur vorübergehend…

    Antworten
  19. Hi,
    ich habe mir eben auch ein Zertifikat von Actalis geholt.

    Leider stimmt das Kennwort im Zertifikat nicht mit dem in der Email überein. Hat das Problem noch jemand?
    Bzw. wie kriege ich das richtige Kennwort? Das Zertifikat kann ich mir ja nicht mehr neu erstellen.

    Antworten
    • Das ist mir nur passiert, als ich mehrere Zertifikate gleichzeitig ausstellen wollte. Leider muss alles einzeln gemacht werden. Jetzt habe ich das Problem, dass es teilweise schon über eine Stunde dauert, bis ich eine E-Mail bekomme.
      Liebe Grüße

      Antworten
  20. Ich habe mir eben über Actalis ein S/MIME Zertifikat ausgestellt.
    Soweit problemlos. Auch die Integration in OS X Mojave und iOS lief problemlos.
    Allerdings wurde das S/MIME Zertifikat von der „Actalis Client Authentication CA G1“ ausgestellt. Diese CA wurde wiederum von der im Zertifikatsspeicher vorhandenen „Actalis Authentication Root CA“ ausgestellt (Sub-CA).
    Die Sub-CA „Actalis Client Authentication CA G1“ selbst befindet sich allerdings nicht im Zertifikatsspeicher. Somit ist die Zertifikatskette unterbrochen und man muss händisch das Zertifikat der Sub-CA in den Zertifikatsspeicher importieren um die Kette zu vervollständigen.
    Das ist für den Normalanwender leider untauglich und die versendeten Emails werden beim Empfänger mit dem Makel „unbekannter Unterzeichner“ versehen.

    Antworten
    • Du musst immer jemanden vertrauen. Egal ob bei S/MIME oder PGP.
      Und wie soll das Zertifikat auf dem Rechner des Nutzers erstellt werden, wenn er kein Programm dafür hat?

      Aber ich finde es auch schade, dass sich die VV nicht wirklich weiterentwickelt… PGP Zertifikate erstellen, Linux, Android… Nutzung anderer Identifizierungsmechanismen…

      Antworten
      • Die Volksverschlüsselung ist Müll, in deren Root ist nicht mal eine Sperrliste hinterlegt.
        Heißt, das Root ist im Grunde selbstsigniert und es ist auch nicht Standard-Konform.
        Woher weißt du denn, dass dein oder irgendein von denen ausgestelltes Zertifikat noch gültig ist?

        Korrigiert mich gerne, wenn ich was übersehen habe.. aber für mich sieht das aus, wie übelster Amateur-Schrott..

        Antworten
  21. Oder einen nPA mit Online-Funktion oder eine Festnetz-Anschluss der Telekom hat.
    Immerhin jeder der will bzw. 18 Millionen Personen in Deutschland.

    Aber hey, immer her mit den besseren Alternativen!

    Antworten
    • Legitimation per Telekom-Login geht nicht mehr, aus „technischen Gründen“. Und ein neues Zertifikat aus einem schon bestehenden (egal ob noch gültig oder abgelaufen) erstellen funktioniert mit der aktuellen VV-Version auch nicht mehr.

      Antworten
      • Naja,

        „nix dolles“ ist in meinen Augen nicht gut begründet worden.
        Software Quelltext ist verfügbar. Der Schlüssel wird beim Endnutzer erzeugt.
        „nicht besser als self-signed“ ist ziemlicher Quatsch. Ja, das Zertifikat der Volksverschluesselung Root CA ist ggf. nicht automatisch als vertrauenswürdig eingestuft, aber dem Fraunhofer-Institut für Sichere Informationstechnologie kann schon etwas mehr Vertrauen entgegen gebracht werden als irgendeine maltäsischen Limited oder so.

        Außerdem handelt es sich um ein Stufe 3 Zertifikat.

        Wo sind denn die besseren Alternativen zu Volksverschluesselung? Ist ja nicht so, als könnte man sich einfach mit Stufe 1 Zertifikaten eindecken. Dann doch lieber eins erstellen, bei dem man den Kommunikationspartner bitten muss, dem Fraunhofer SIT zu vertrauen.

        Antworten
        • Oder einen nPA mit Online-Funktion oder eine Festnetz-Anschluss der Telekom hat.
          Immerhin jeder der will bzw. 18 Millionen Personen in Deutschland.

          Aber hey, immer her mit den besseren Alternativen!

        • Die Volksverschlüsselung ist Müll, in deren Root ist nicht mal eine Sperrliste hinterlegt.
          Heißt, das Root ist im Grunde selbstsigniert und es ist auch nicht Standard-Konform.
          Woher weißt du denn, dass dein oder irgendein von denen ausgestelltes Zertifikat noch gültig ist?

          Korrigiert mich gerne, wenn ich was übersehen habe.. aber für mich sieht das aus, wie übelster Amateur-Schrott..

        • Ihre FAQ sagt dazu:
          „Gesperrte Zertifikate sind nicht mehr vertrauenswürdig. Sie werden auf Sperrlisten, sogenannten Certificate Revocation Lists (CRLs), geführt und werden durch die Zertifizierungsstelle (CA) gemäß den entsprechenden Richtlinien (CP/CPS) veröffentlicht. Sperrinformationen werden auch per OCSP-Dienst zur Verfügung gestellt.“

          Die CRL die ich gefunden habe (http://volksverschluesselung.de/crl/rootca.crl) umfasst zwei Eintrage. Das lässt erahnen, wie aktiv das Ding genutzt wird .

    • Ist jetzt die Frage.. ist dieses Zertifikat standardmäßig in allen Windows Clients enthalten und damit überall vertrauenswürdig ?

      Insgesamt ist das natürlich trotzdem ärgerlich wenn mal für 3,4,5 Adressen gerne ein Zertifikat hätte… und für jedes einzelne bezahlen muss. Grundsätzlich muss natürlich nicht alles kostenlos sein, aber für jede Adresse einzeln wird dann doch irgendwie ein zu teurer Spaß.

      Antworten
    • Suche auch schon ewig und habe mir gerade Certum (https://en.sklep.certum.pl/) angesehen – scheint zum Preiswertesten zu gehören, derzeit pro 3 Jahre sogar nur 22,25 Euro, Erneuerung noch preiswerter. Einzige und älteste Zertifizierungswurzel Polens, aber wohl in den meisten Systemen vorhanden. Wie erzeugen die den privaten Schlüssel? Wie Comodo im eigenen Browser? Ein fertig generierter und zugeschickter Schlüssel wäre für mich ein K.O. -Kriterium.

      Antworten
  22. Hmmm

    Alternativ wäre die nächste Frage welcher Anbieter für s/mime ca’s ist unter den Bezahldiensten der mit dem besten Preis-leistungsverhgältnis?
    Kennt sich da schon jemand aus?

    Antworten
  23. Hallo zusammen,
    das Theme fände ich grundsätzlich toll – Kunden fragen seit Jahren danach….Aber:
    Ich habe mir ein Zertifikat besorgt, gegen Geld und von der Bundesdruckerei. Beim Einsatz stelle ich allerdings vermehrt fest, dass die Emails im Prinzip nicht mehr ankommen: Die Nachricht wird zu einer winmail.dat – und das kann niemand öffnen.
    Vielleicht mache ich ja grundsätzlich was falsch – aber so ist S/Mime ja nicht nutzbar…
    Noch blöder finde ich, dass das eine reine Clientgeschichte ist – nehme ich mal OWA oder das Smartphone – dann wird nichts signiert…

    Danke für jeden Gedankenanstoss…

    Antworten
  24. Das Zertifikat von Actalis benutze ich jetzt schon 2 Monate. Bisher keine Probleme. Heute aber meldet jemand mit Windows 7 und Outlook, daß meine Signatur ungültig ist. Komisch, kann ich nicht nachvollziehen.
    Dann doch wieder GPG :(

    Antworten
  25. In Windows 10 ist Actalis nicht vorhanden??
    Seltsam, in Windos 7 ja. Ist da eventl. das Update von CAs abgeschaltet?
    Ich habe zugriff auf ca 20 Windows 10 Rechner da ist Actalis überall vorhanden.

    Hm, ist das jetzt Zufall oder gibt es noch andere Gründe

    Antworten
  26. Hm, die Terms und Conditions bei Actalis gibt es nicht in englischer Sprache? Ich sehe die nur in Italienisch… Außerdem gab es bei mir beim Anfordern einen „Internal Error“ schade schade!

    Antworten
    • Du hast ein „+“ in der E-Mail-Adresse… ;-)

      Das ist ein Bug bei denen…

      Sobald ich das „+“ durch ein „-“ ersetzt hatte (bei meinem (selbst betriebenen) Mailserver möglich), funktionierte es…

      Antworten
  27. Ich hatte noch eine alte VM herum liegen. Auf Windows 10 1511 ist Actalis noch nicht vorhanden. Ein altes OS X habe ich leider nicht mehr. In macOS ist Actalis aber vorhanden.

    Antworten
  28. Hallo

    habe mir heute ebenfalls ein Zertifikat von aktalis besorgt

    ABER:
    weder Thunderbirds unter Ubuntu u. Mac noch das Mac OS interne Programm Mail können mit dem Zertifikat nichts anfangen es wird schlicht weg nicht verwendet. Sprich eine Verschlüsselung funktioniert erst gar nicht

    Antworten
    • Kann es bei macOS und iOS auch nicht verwenden.

      Unterschiede zu einem Comodo-CERT es gibt bei dem Actalis-CERT den Abschnitt „Netscape-Zertifikatstyp“ mit dem Attribut „Verwendung: S/MIME“ nicht. K.A. ob dies das Problem ist.

      Antworten
      • Nachdem ich mir unter iOS eine signierte Mail vom Actalis-Account geschickt habe konnte ich von iOd auch verschlüsselt antworten. macOS steht noch aus.

        Antworten
    • Hallo Jen,

      genau das ist das Problem. Wenn ich die Seite aufrufe, bekomme ich eine Zertifikatswarnung angezeigt, weil das Root-Zertifikat des Ausstellers nicht zum „Standard“ gehört. Ein Problem, dass auch die Volksverschlüsselung hat. Wenn ich (und alle Empfänger, mit denen ich signiert oder verschlüsselt kommunizieren will!) erst ein Root-Zertifikat installieren müssen, das man auch aus vertrauenswürdiger Quelle bekommen muss, kann ich auch gleich meine eigene CA betreiben und selbst Zertifikate ausstellen. Nutze ich das nur im familiären Umfeld oder im Bekanntenkreis, ist das sogar vertrauenswürdiger als die Nutzung einer nur teilweise anerkannten CA in Australien.

      Viele Grüße
      Florian

      Antworten
    • die wollen zwar eine kredikarte haben.. okay hab ich ihnen ne prepaid kredikarte gegeben es wirde nichts abgezogen aber das SSL cert kommt „powered by sertico“ (comodo) und ist nur 30 tage gültig aber hey zumindest gabs noch gratis kunden daten für instantssl ;)

      Antworten
  29. … Class 3-Zertifikate für private Nutzung bei https://volksverschluesselung.de/ mit Gültigkeit von jeweils 2 Jahren

    Von der Volksverschlüsselung werden derzeit Zertifikate entsprechend dem ITU-T-Standard X.509 ausgestellt und verwaltet. X.509 ist der am weitesten verbreitete Standard und wird von den gängigen E-Mail-Clients und Web-Browsern standardmäßig unterstützt.

    Jeder Nutzer erhält jeweils ein Zertifikat für Verschlüsselung, Authentifizierung und Signatur, die in unterschiedlichen Anwendungen eingesetzt werden können. Neben der Absicherung von E-Mails (Signatur und Verschlüsselung) mit S/MIME ist somit beispielsweise auch die sichere Kommunikation mit Web-Seiten mittels TLS möglich, wenn ein Server nach einem persönlichen Zertifikat zur Authentifizierung verlangt.

    Antworten
    • ich hab das grade mal getestet.. man muss da erst eine softare runterladen udn sich entweder mit dem Neuen Personalausweis oder Telekom oder code per post Verifizieren.. und dann kann man ein Cert erstellen lassen da stellt sich halt nur die frage was mit dem privatenschlüssel passiert es schjeint so als wird der wohl an dei server von sonstwem gesendet oder auch direkt dort erstellt.. da muss man schon vertrauen in die software / firma haben

      Antworten
      • Das Zertifikat wird auf Basis einer Frauenhofer CA ausgestellt. Dieses ist in keinem gängigen System vorhanden. Die Software schiebt die CA und das Zwischenzertifikat still und heimlich in den Windows Zertifikatsstore. Beim Empfänger ist es also als nicht vertrauenswürdig klassifiziert. Nicht besser als ein Self-signing-cert.

        Antworten
        • Habe kürzlich eine Anfrage bzgl. Vertrauensstellung der VV-CA gestellt. Hier ist wohl mindestens für die kommerzielle (kostenpflichtige) Zertifikatsausstellung im ersten Quartal 2020 geplant, neue Zertifikate mit Vertrauenstellungen auszustellen, die in den gängigen Browsern vorhanden sind..

    • ja funktioniert perfekt – letztendlich ist es
      CN = Sectigo RSA Client Authentication and Secure Email CA
      O = Sectigo Limited
      L = Salford
      S = Greater Manchester
      C = GB

      Signiert von

      CN = USERTrust RSA Certification Authority
      O = The USERTRUST Network
      L = Jersey City
      S = New Jersey
      C = US

      Antworten
    • Prinzipiell funktioniert es. Es wird jedoch im Zertifikatsspeicher angezeigt als „Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden.“. Das hat zur Folge, dass mir meine E-Mail-Partner keine verschlüsselten E-Mails mehr zuschicken können, es sei denn, die Empfänger stufen das Zertifikat explizit als „vertrauenswürdig“ ein, was für einige Empfänger schwierig ist.
      Bei den bisherigen Comodo-Zertifikaten gab es dieses Problem nicht.

      Antworten
  30. Danke für den Artikel, sehr schade, das durch den Wegfall kostenloser smime Zertifikate das ganze weniger genutzt wid.

    Weiss jemand, ob letsencrypt die Zertifikate nicht unterstützen wird. Technisch wäre das doch nicht allzuschwer zu realisieren…..

    Antworten
    • Hallo,
      Thema letsencrypt:
      https://letsencrypt.org/docs/faq/

      Technical Questions
      Does Let’s Encrypt issue certificates for anything other than SSL/TLS for websites?
      Let’s Encrypt certificates are standard Domain Validation certificates, so you can use them for any server that uses a domain name, like web servers, mail servers, FTP servers, and many more.
      Email encryption and code signing require a different type of certificate that Let’s Encrypt does not issue.

      Stand heute 14.03.2020 04:25 GMT

      Antworten
  31. Hallo!

    Also mein Windows 10 1809 17763.316 kennt die Actalis CA nicht…

    In meinem Ubuntu ist sie drin…

    Naja, wie dem auch sei – soweit ich das sehe (gerade noch mit einer testweise eingerichteten Mailadresse getestet) funktioniert „ehemals comodo CA“ noch über folgenen Direktlink (im *würg* IE) ganz problemlos, auch wenn man das Angebot über die Webseite nicht mehr finden kann…:
    https://secure.comodo.net/products/frontpage?area=SecureEmailCertificate
    Ausgestellt von „Sectigo RSA Client Authentication and Secure Email CA“

    Gruß,
    Aaron

    Antworten
  32. Hallo Franky

    Vielen Dank für die Informationen.

    Kann es sein, dass die CA nicht bei allen Betriebssystemen enthalten ist?

    Ich habe gerade kurz den Zertifikatstore von 2 Windows 10 Clients einem 2016 und einem 2019 Server geprüft.

    Leider finde ich bei allen Systemen keine CA von Actalis Authentication.

    Oder habe ich gerade etwas übersehen?

    Besten Dank für dein Feedback!

    Gruss
    Kevin

    Antworten
    • Die hier in den Kommentaren immer wieder diskutierte Unklarheit, ob das Stammzertifikat denn nun im Windows-Zertifikatspeicher standardmäßig installiert ist, ist vermutlich im Wesentlichen durch eine seltsame, fragwürdige Eigenheit von Windows Vista und neuer bedingt: Stammzertifikate werden erst dann über Microsoft Update im Hintergrund abgerufen, wenn sie zur Validierung benötigt werden. Also wenn man eine Webseite über einen Browser abruft oder eine signierte Mail in einem Mailclient öffnet, der den Windows-Zertifikatspeicher verwendet (z. B. Internet Explorer, Edge, Chrome, Outlook, „Mail und Kalender“ … aber nicht Firefox oder Thunderbird). Siehe
      https://support.microsoft.com/de-de/help/3004394/support-for-urgent-trusted-root-updates-for-windows-root-certificate-p

      How Root Certificate Distribution Works

      Starting with the release of Windows Vista, root certificates are updated on Windows automatically. When a user visits a secure Web site (by using HTTPS SSL), reads a secure email (S/MIME), or downloads an ActiveX control that is signed (code signing) and encounters a new root certificate, the Windows certificate chain verification software checks the appropriate Microsoft Update location for the root certificate. If it finds it, it downloads it to the system. To the user, the experience is seamless. The user does not see any security dialog boxes or warnings. The download happens automatically, behind the scenes.

      Antworten
      • Falls das wirklich so ist, dann ist das Mist größter Ordnung. Das erfordert einen PC, der jederzeit Zugriff auf die Microsoft-Server bzw. das Internet hat. Für einen secure-Arbeitsplatz wohl kaum die passende Umgebung, auch für embedded oder schlichte Netzwerkinsel-PCs nicht, die nur Zugriff auf den hauseigenen Mailserver haben.
        Fraglich, was das Ganze bringen soll. Microsoft mutet dem Nutzer auch den ständigen Download von Updatepaketen in hundert Megabyte-Größe zu, warum sollte die überschaubare Menge der Rootzertifikate nicht ebenfalls in ihrer Gesamtheit vorhanden und aktualisiert werden können?

        Antworten
        • Wirklich drüber nachgedacht wurde über die Antwort nicht, oder?
          Wie soll denn ein System, welches keinen Zugriff auf externe Quellen hat, jemals mit einem unbekannten Zertifikat konfrontiert werden, für dass dann der Download erforderlich wäre?

        • Wenn du bei einem Secure Arbeitsplatz an den paar Euro für ein kostenpflichtiges SMIME Zertifikat sparst, dann machst du sowieso etwas falsch. Zumal hier wie Franky schon schrieb, der private Key nicht privat ist.

Schreibe einen Kommentar