In meinem letzten Artikel zu einem kostenlosen S/MIME Zertifikat für das Signieren und Verschlüsseln von E-Mails, ist mir ein blöder Fehler unterlaufen. Im letzten Artikel hatte ich die CA DGNCert empfohlen, welche zwar kostenlose S/MIME Zertifikate anbietet, jedoch ist die CA selbst nicht als “Vertrauenswürdige Stammzertifizierungsstelle” in Windows hinterlegt. Solange also nicht manuell das Stammzertifikat von DGNCert in den Speicher für “Vertrauenswürdige Stammzertifizierungsstelle” hinterlegt wird, gelten die Zertifikate als nicht vertrauenswürdig.
Ich hatte nicht bemerkt, dass sich die CA DGNCert erst beim Erstellen des S/MIME Zertifikats als “Vertrauenswürdige Stammzertifizierungsstelle” einträgt und nicht wie angenommen bereits vorhanden ist.
Ich musste daher meinen ursprünglichen Artikel widerrufen und eingestehen, dass mir hier ein Fehler unterlaufen ist. Dank der Kommentare zum ursprünglichen Artikel ist mir dies überhaupt erst aufgefallen. Ich möchte mich daher an dieser Stelle noch einmal für die Kommentare bedanken, ohne die mir mein Fehler wahrscheinlich gar nicht aufgefallen wäre.
Am 19.02.2019 musste ich den ursprünglichen Artikel allerdings wieder aktualisieren, da nun auch der alternative Link aus den Kommentaren offline geschaltet wurde und nur noch eine 404-Seite liefert. Sectigo, der neue Eigentümer von Comodo bietet nun also keine kostenlosen S/MIME Zertifikate mehr an.
Ich hatte allerdings versprochen, mich auf die Suche nach einer Alternative für kostenlose S/MIME Zertifikate zu begeben. Ich bin auch fündig geworden und habe nun auch besser aufgepasst, daher gibt es nun eine neue Version des Artikels.
Bei Actalis bin ich schließlich auf ein kostenloses S/MIME Zertifikat aufmerksam geworden:
Actalis offers S/MIME certificates trusted on all major platforms and supported by e-mail applications conformant to the S/MIME standard. Thanks to Actalis S/MIME certificates you can make your email really secure, regardless of the features of the email service you use. Actalis provides different S/MIME certificate services according to different applicable policies. See below the essential information about the services available to date.
Aus Fehlern lernt man ja bekanntlich, daher habe ich nun vorab geprüft, ob sich ein entsprechendes Zertifikat von Actalis im Speicher für vertrauenswürdige Stammzertifizierungsstellen befindet:
Auf meinen Windows 10 Rechner ist ein Zertifikat für die “Actalis Authentication Root CA” vorhanden, daher habe ich ein S/MIME Zertifikat angefordert:
Auf den Verification Code per Mail musste ich etwas warten, dieser kam bei mir nach ca. 15 Minuten an. Der Verification Code aus der Mail muss nun kopiert werden:
Der Verification Code wird dann im Formular eingetragen:
Die nächste Seite zeigt nun das Passwort für die PFX-Datei an. Dieses Passwort sollte man an einem sicheren Ort aufbewahren:
Kurze Zeit später schickt Actalis das Zertifikat per Mail. Die PFX-Datei ist mit dem Passwort geschützt welches die Webseite im letzten Schritt angezeigt hat (siehe Kritik):
Die PFX-Datei kann nun importiert werden und somit ist man im Besitz eines gültigen S/MIME Zertifikats:
Das S/MIME Zertifikat wird von der Sub-CA “Actalis Client Authentication CA G1” ausgestellt, diese CA wurde wiederum von der Actalis Authentication Root CA” signiert, welche sich im Speicher für vertrauenswürdige Stammzertifizierungsstellen von Windows befindet.
Kritik
Der große Knackpunkt an den S/MIME Zertifikaten von Actalis ist, dass der Private Key auf den Servern von Acatlis erstellt wird. Wenn Actalis den privaten Schlüssel speichert, ist die Firma prinzipiell in der Lage die verschlüsselten Mails zu entschlüsseln. Da der private Schlüssel (wie der Name schon sagt) in diesem Fall eben nicht privat ist, sondern vom Anbieter erstellt wurde, muss man hier schon dem Anbieter Actalis entsprechendes Vertrauens entgegen bringen. Hier kann ja jeder selbst entscheiden, es gibt ja schließlich auch andere CAs die S/MIME Zertifikate ausstellen, diese sind dann allerdings kostenpflichtig.
Falls jemand noch andere CAs kennt, die kostenlose S/MIME Zertifikate ausstellen, dann schickt mir doch einen Hinweis oder Kommentar und ich veröffentliche es entsprechend.