Ich hatte schon häufiger über die Möglichkeit berichtet, um an kostenlose S/MIME Zertifikate für das signieren und verschlüsseln von E-Mails zu kommen. Mittlerweile gibt es nur noch wenige Anbieter, welche kostenlose Zertifikat anbieten. Einige der Anbieter in zuvor genannten Artikeln, stellen entweder gar keine oder nur noch Zertifikate mit 90 Tagen Laufzeit aus. Alle 90 Tage das S/MIME Zertifikat zu wechseln ist aber oft nicht praktikabel, gerade wenn man kein Gateway für die Signierung und Ver-/Entschlüsselung von E-Mails einsetzt.
Es gibt aber noch einen Anbieter, welcher kostenlose S/MIME Zertifikate mit einer Laufzeit von einem Jahr ausstellt: WISeID.
Unter dem folgenden Link kann zunächst ein kostenloses Konto bei WISeID erstellt werden:
Nachdem das Konto erstellt und die eigene E-Mail Adresse bestätigt wurde, kann in den Einstellungen den Accounts ein Zertifikat angefordert werden:
Die von WISeID ausgestellten Zertifikate werden von allen gängigen Betriebssystemen, Browsern und E-Mail Clients als vertrauenswürdig anerkannt. Hier einmal die Zertifikatskette meines S/MIME Zertifikats von WISeID:
Ein zusätzliches nettes Feature von WISeID ist, dass das Zertifikat auch für die Authentifizierung (beispielsweise für die 2-Faktor Authentifizierung) verwendet werden kann:
Wie bereits erwähnt, ist das Zertifikat 1 Jahr gültig. Der private Schlüssel (Private Key) wird dabei auf den Servern von WISeID erzeugt. Mir ist allerdings keine CA bekannt, welche kostenlose S/MIME Zertifikate anhand eines CSRs ausstellt. Wenn man also ein kostenloses S/MIME Zertifikat haben möchte, muss man wohl damit leben, dass der private Schlüssel bei der CA erzeugt wird. Ob und in wie weit WISeID vertraut wird, muss jeder für sich entscheiden (siehe Hinweis).
Hinweis: Der private Schlüssel des Zertifikats sollte, wie der Name schon sagt, privat sein. Der private Schlüssel wird verwendet um E-Mails zu entschlüsseln. Eine CA welche den privaten Schlüssel für den Benutzer erstellt (und vielleicht auch speichert), wäre somit in der Lage, die vom Absender verschlüsselten E-Mails mit dem privaten Schlüssel des Empfängers zu entschlüsseln.
Mit WISeID Basic gibt es bei mir folgendes Problem:
1. Die auf meinem GoogleMail Konto empfangene Test E-Mail wird als nicht vertrauenswürdig eingestuft mit der Fehlermeldung:
Die Signatur verwendet einen nicht unterstützten Algorithmus. Die digitale Signatur ist ungültig.
2. Wird im Kundenkonto von WISeID unter „Digital Certificates“ folgendes angezeigt:
OU=Person’s Identity not Verified – WISeID Basic Certificates
Hat da jemand eine Idee?
Im Endeffekt das gleiche Übel wie bei DGN. Auf WISeID habe ich meine Identität mittels Personalausweis bestätigt und wurde akzeptiert. Mein Trust-Level liegt bei 70%.
Leider ist die Gültigkeit der ausgestellten Zertifikate inzwischen auch auf 90 Tage begrenzt…
Wird jemand aus der aktuellen Mail von der Firma schlau?
Zitat:
Dear WISeID User,
We are contacting you as user of our free digital certificates.
Due to a change in the configuration of our systems, we will be cancelling a number of digital certificates this Thursday 9th of July. If you want to keep using this complimentary service, you are required to visit WISeID.COM and get a new certificate. This can be done from our mobile Apps (My WISeID App) if desired.
If you used this certificate for securing emails, the replacement will not affect to the messages already sent with it, but you won’t be able to use it after it’s cancelled this We apologise for the inconveniences.
Best regards,
WISeID Team
Tja „kostenlos“ hat halt immer einen Haken. Man/frau weiß nie wie das Kostenlos kostentechnisch firmenintern abgebildet wird – im schlimmsten Fall werden die Kundendaten verkauft und man hat keinen Einfluss drauf.
Kaum eine profiorientierte Firma macht kostenlos wirklich kostenlos.
Schön wäre, wenn LetsEnCrypt die Bereitstellung für Smime Zertifikate ermöglichen / dazu erweitert wird.