Update 25.02.2019: Es gibt hier einen neuen Artikel, da dieser Artikel nicht mehr gültig ist.
Update 29.01.2019: Siehe Hinweis/Update am Ende des Artikels. DGNcert ist nicht wie von mir behauptet als vertrauenswürdige Zertifizierungsstelle in Windows hinterlegt. Daher bitte zunächst das Update am Ende des Artikels lesen und dann die Kommentare.
Bisher war Comodo ein zuverlässiger Anbieter von kostenlosen S/MIME Zertifikaten für E-Mail Signatur und Verschlüsselung. Comodo wurde dann zu Sectigo und bietet mittlerweile keine kostenlosen S/MIME Zertifikate mehr an:
Ich habe bisher ein S/MIME Zertifikat von Comodo benutzt, dieses läuft allerdings bald aus. Ich habe mich daher nach einem neuen Anbieter für kostenlose S/MIME Zertifikate umgesehen. Bei DGNcert bin ich dann fündig geworden:
Das DGN bietet kostenlose S/MIME Zertifikate an, die genauso problemlos wie die alten Comodo Zertifikate ausgestellt werden. Hier mal der Selbstversuch, ein kostenfreies S/MIME Zertifikate vom DGN anzufordern:
Selbstverständlich müssen ein paar persönliche Daten angegeben werden, diese finden sich auf dem Zertifikat wieder.
Die Handynummer wird für den Versand des Passworts für den privaten Schlüssel benötigt. Hier wird also der private Schlüssel auf den Servern von DGN erzeugt. Es lässt sich hier also nicht nachvollziehen, was mit dem erzeugten privaten Schlüssel passiert. Würde man davon ausgehen, dass DGN den erzeugten privaten Schlüssel speichert, wäre der Anbieter in der Lage verschlüsselte E-Mails zu entschlüsseln:
Die Anforderung des S/MIME Zertifikats ist nach der Eingabe der Daten schnell erledigt:
In meinem Fall landete kurze Zeit später eine entsprechende Mail im Postfach:
Nach Aufruf des Bestätigungslinks habe ich auch direkt das Passwort per SMS erhalten und konnte das Zertifikat anfordern:
Das DGN erzeugt nun den öffentlichen und privaten Schlüssel und bietet beides kurze Zeit später zum Download an:
Das Zertifikat konnte ich dann direkt als P12-Datei runterladen. Das Passwort wurde mir direkt per SMS zugeschickt. So sieht nun das erzeugte Zertifikat aus:
Ausgestellt wurde es von der SubCA “dgnservice CA 2 Type E:PN ” welche von der RootCA “dgnservice Root 7:PN” signiert wurde:
Beide CAs befinden sich bereits im Windows Zertifikatsspeicher und werden als vertrauenswürdig anerkannt, hier einmal das Zertifikat der Zwischen-CA:
Und hier das Zertifikat der Stammzertifizierungsstelle (Root-CA):
Für einzelne S/MIME Zertifikate sind die DGN Zertifikate also ein guter kostenloser Ersatz zu den Comodo Zertifikaten.
Update 29.01.2019: Dank der Kommentare bin ich darauf aufmerksam geworden, dass ich hier eine Falschaussage getätigt habe.
DGNcert ist keineswegs als vertrauenswürdige Zertifizierungsstelle in Windows enthalten. Die Zertifikate der CA werden während der Erstellung des S/MIME Zertifikats hinzugefügt. Dies bedeutet, dass ein S/MIME Zertifikat zwar auf dem eigenen Rechner gültig ist, aber nicht beim Empfänger.
Zwar bekommt man bei DGNcert ein kostenloses S/MIME Zertifikat, dieses ist aber aus Sicht des Empfängers unter Umständen genauso vertrauenswürdig wie ein selbst erstelltes S/MIME Zertifikat (im Prinzip also gar nicht). Zwar können somit signierte und verschlüsselte Mails ausgetauscht werden, der Empfänger wird aber eine Warnung angezeigt bekommen.
Der bessere Weg ist also, wie in den Kommentaren richtig dargestellt, ein noch immer verfügbares kostenloses S/MIME Zertifikat von Comodo anzufordern.
Ich möchte mich für diesen Fehler entschuldigen und gelobe in Zukunft Besserung. Vielen Dank für Kommentare, ohne die mir mein Fehler wahrscheinlich nicht aufgefallen wäre!
Update 19.02.2019: Leider bietet der neue Eigentümer der Comodo CA (Sectigo) nun auch keine kostenlosen S/MIME Zertifikate mehr an. Ich werde mal auf die Suche gehen, ob es noch einen alternativen Anbieter gibt.
Update 25.02.2019: Es gibt hier einen neuen Artikel, da dieser Artikel nicht mehr gültig ist.