S/MIME X.509 Emailsicherheit mit cacert.org und Mozilla Software

Folgendes Tutorial habe ich nur ziemlich schnell hingetippt, da ich mich gerade etwas intensiver mit der Materie vertraut gemacht habe und so meine Erinnerungen noch relativ frisch waren. Ich plane, ein etwas ausfuehrlicheres HowTo zu schreiben, wenn ich etwas mehr Erfahrung mit diesen Techniken bekommen habe.

Bei der freien Zertifizierungsstelle cacert.org kann man sich gratis X.509 Zertifikate fuer Emailsignatur und -verschluesselung ebenso holen wie fuer sichere Webserver. Leider ist das Verfahren nicht ganz einfach, weshalb ich hier ein entsprechendes Tutorial veroeffentlichen moechte.

Zuerst muss man sich natuerlich auf http://www.cacert.org registrieren, wozu eine Verifikation der eigenen Emailadresse noetig ist. Sobald man den Link in der bald eintreffenden Email von cacert.org geklickt hat, kann man sich auch bereits Zertifikate ausstellen lassen. Zuvor jedoch sollte man noch das cacert Root Zertifikat importieren.

Da bereits eine Emailadresse registriert ist, kann man sofort mit dem Punkt "Client Certificate" auf der Website weitermachen. Dort klickt man wiederum auf "New" und waehlt die Emailadressen aus, die man in das neue Zertifikat aufnehmen lassen moechte. Wiederum versendet cacert.org ein Email zur Ueberpruefung der Echtheit. Nach einem Klick auf den darin enthaltenen Link bekommt man noch ein Email mit einem weiteren Link, das einen direkt zu einer Seite zum Herunterladen des eigenen Zertifikats bringt. Wichtig ist, dass cacert vor allem auf die Verwendung eines Mozilla basierten Browser (auch Firefox) ausgelegt ist. Mit einem solchen klickt man den enhtaltenen Link und das Zertifikat installiert sich automatisch ohne Rueckmeldung.

Da der Emailclient, in diesem Beispiel Thunderbird, noch nichts von diesem Zertifikat weiss, muss man erst exportieren: Im Firefox (1.5.0.6 Linux) unter Bearbeiten/Einstellungen/Erweitert/Sicherheit/Zertifikate sieht man das neu importierte Zertifikat. Das muss man als Datei mit der Endung .p12 speichern. Die Passphrase, nach der man hier gefragt wird, sollte man etwas komplizierter waehlen. Man braucht sie nur mehr ein Mal, wenn man es wieder importiert.

Die Root Zertifikate, die zuvor in Firefox importiert wurden, muessen nun noch ueber Bearbeiten/Einstellungen/Datenschutz/Sicherheit/Zertifikate importiert werden und ihnen die Moeglichkeit, Emails zu ueberpruefen gewaehrt werden. Sie finden sich in Zertifikate unter Zertifizierungsstellen beim Punkt "Root CA".

Im Thunderbird kann man direkt in Einstellungen/Konten/[Kontoname]/S/MIME den Button Zertifikate druecken und das eben exportierte Zertifikat wieder importieren. Erst wird man um die Eingabe eines Master- Passworts gebeten, das in Zukunft alle Zertifikate schuetzt. Danach muss man erst die eigentliche Passphrase eingeben, die man zuerst gewaehlt hat.

Digitale Signaturen werden im Emailfenster unter Einstellungen/S/MIME- Sicherheit aktiviert. Bei signierten Emails wird gleich der oeffentliche Schluessel mitgeschickt, wodurch der Empfaenger gleich mit einer verschluesselten Email antworten kann. (wenn er nicht zuvor auch das root Zertifikat importieren muss, was aber in Zukunft immer seltener vorkommen sollte, da viele Softwarehersteller es gleich integrieren.)

ACHTUNG: Eine Kombination von PGP/MIME und S/MIME ist anscheinend nicht moeglich. Eine Verschluesselung mit PGP/MIME und eine Signatur mit S/MIME resultierte in einer unlesbaren Signatur fuer eine uverschluesselte Mail! Das bemerkte ich aber erst, als das Mail bereits versandt war.