S/MIME mit X509-Zertifikaten

Wozu der Aufwand?

Der Versand von E-Mails über das Internet ist einfach und schnell, aber leider alles andere als sicher. Da E-Mails nicht direkt von Rechner zu Rechner sondern über viele Zwischenstationen verschickt werden, ist es möglich Mails abzufangen, zu lesen und sogar zu manipulieren. Des Weiteren kann beim Versand einer E-Mail ein beliebiger Absender angegeben werden, wodurch auch Dritte in der Lage sind, E-Mails unter Ihrem Namen zu verschicken.

Um dem Mailverkehr nun eine gewisse Vertrauenswürdigkeit zu verleihen gibt es das sog. S/MIME-Verfahren, welches eine E-Mail in einen Container packt, eine digitale Signatur hinzufügt und auf Wunsch diesen Container anschließend verschlüsselt. Durch das Signieren kann der Empfänger sicherstellen, dass die E-Mail zum einen tatsächlich von Ihnen persönlich stammt und zum anderen dass diese auf dem Transportweg nicht manipuliert wurde. Die E-Mail an sich liegt aber weiterhin im Klartext vor, was aber den Vorteil hat, dass auch Mail-Programme ohne S/MIME-Unterstützung die E-Mail problemlos anzeigen können. Durch das Verschlüsseln der E-Mail wird der Mailinhalt vor dem Verlassen des Rechners verschlüsselt und kann erst wieder vom Empfänger persönlich an dessen Rechner entschlüsselt werden.

Der Einsatz von S/MIME bringt also nur Vorteile mit sich und steigert in Zeiten von Spam und Phishing die Glaubwürdigkeit von E-Mails enorm. Des Weiteren gehört S/MIME mittlerweile zum Standardfunktionsumfang eines Mail-Programms und auch die dafür benötigten Zertifikate gibt es kostenlos.

Beantragen eines X509-Zertifikats

Es gibt verschiedene Dienstleister, die kostenlose X509-Zertifikate zur Verfügung stellen. Somit ist es ohne großen Aufwand möglich, seinen Mailverkehr zu sichern.

Am einfachsten bekommt man ein solches Zertifikat bei Comodo. Außer Comodo gibt es natürlich auch noch viele andere Zertifikatsaussteller, im Folgenden wird aber speziell auf die Prozedur von Comodo eingegangen.

Geben Sie dazu nun im Comodo-Antragsformular Ihren Vor- und Nachnamen sowie Ihre Mail-Adresse und Ihr Land ein. Sonderzeichen wie z.B. Umlaute sollten unbedingt vermieden und umschrieben werden. Als Keysize reichen für den normalen Gebrauch 1024 Bits, wenn Sie ganz auf Nummer sicher gehen wollen wählen Sie 2048 Bits. Anschließend müssen Sie noch ein Passwort hinterlegen, mit dem Sie später im Falle eines Missbrauchs Ihr Zertifikat widerrufen können. Den Haken zur Anmeldung des Newsletters können Sie entfernen.

Nach dem Absenden des Formulars bekommen Sie in den nächsten Minuten eine E-Mail mit weiteren Instruktionen zugeschickt.

Installation des X509-Zertifikats

In der Bestätigungsmail finden Sie einen Link zu Ihrem fertigen Zertifikat. Tragen Sie auf dieser Seite Ihre Mail-Adresse sowie per Copy&Paste das in der Mail genannte Passwort ein.

Im nächsten Schritt wird Ihr persönliches Zertifikat automatisch in Ihrem Web-Browser installiert.

Sichern des Zertifikats

Jetzt wo sich das Zertifikat im Browser befindet, empfiehlt es sich, eine Sicherungskopie des Zertifikats anzulegen. Das Erstellen eines solchen Backups funktioniert je nach verwendetem Browser unterschiedlich. Am Schluss erhalten Sie eine Datei mit der Endung .p12, welche Sie gut aufbewahren sollten.

Zertifikat importieren

Jetzt wo Sie in Besitzt eines persönlichen X509-Zertifikates sind können Sie dieses auch mit Ihrem Mail-Programm zur Signierung und Verschlüsselung von E-Mails nach dem S/MIME-Standard verwenden. Im Thunderbird rufen Sie dazu wieder den Zertifikatsmanager auf, der sich unter Extras > Einstellungen > Erweitert > Zertifikate befindet. Im Reiter Ihre Zertifikate können Sie nun das X509-Zertifikat über die zuvor erstelle .p12-Datei importieren.

Mailkonto konfigurieren

Abschließend müssen Sie Thunderbird nur noch sagen, dass zur Signierung und Verschlüsselung von E-Mails dieses Zertifikat verwendet werden soll. Rufen Sie dazu unter Extras > Konten die S/MIME-Einstellungen Ihres Mail-Kontos auf. Dort wählen Sie Ihr persönliches Zertifikat aus und bestätigen die Verwendung zur Verschlüsselung. Es empfiehlt sich die Option zu aktivieren, dass Nachrichten standardmäßig digital unterschrieben werden sollen.

E-Mails signieren

Nach erfolgreicher Konfiguration können Sie nun beim Verfassen von E-Mails diese per S/MIME digital unterschreiben.

Beim Empfangen von E-Mails zeigt Ihnen das Symbol eines versiegelten Umschlages an, dass die E-Mail tatsächlich vom jeweiligen Absender stammt und auf dem Transportweg nicht manipuliert wurde.

E-Mails verschlüsseln

Voraussetzung für das Verschlüsseln von E-Mails ist, dass Sie das öffentliche Zertifikat der Person besitzen, die die E-Mail anschließend wieder entschlüsseln soll. Dazu reicht es aus, dass Sie und der Empfänger sich gegenseitig eine signierte E-Mail schicken. Durch das Überprüfen der Signatur holt sich das Mail-Programm automatisch das benötigte Zertifikat.

Das Ver- und Entschlüsseln von E-Mails funktioniert anschließend genauso transparent und einfach wie das Signieren. Ein Schloss-Symbol zeigt beim Betrachten von E-Mails, dass diese verschlüsselt und nur von Ihnen einsehbar sind.

Um sich selber davon zu überzeugen, dass eine E-Mail auch tatsächlich in verschlüsselter Form vorliegt, können Sie sich diese im Thunderbird einfach mit der Tastenkomination Strg-U im Quelltext anzeigen lassen. Bei einer verschlüsselten E-Mail ist anstelle des Nachrichtentextes nur ein Zeichenwirrwarr zu sehen.

Gültigkeitsdauer des Zertifikats

Die meisten X509-Zertifikate haben aus Sicherheitsgründen eine beschränkte Gültigkeitsdauer von 365 Tagen ab Ausstellungsdatum. Nach diesem Jahr ist das Zertifikat ungültig und Sie müssen ein neues beantragen.

Unterstütze Mail-Clients

Da S/MIME den MIME-Standard verwendet ist eine mit S/MIME signierte E-Mail genauso lesbar wie jede andere E-Mail auch; nur dass sich im Anhang eine Datei mit der digitalen Signatur und dem Zertifikat befindet. Des Weiteren bringen so gut wie alle Mail-Programme S/MIME-Unterstützung mit, so dass auch eine automatische Überprüfung der Signatur problemlos möglich ist. Unterstützt der vom Empfänger verwendete Mail-Client kein S/MIME, so ist die E-Mail trotzdem ganz normal lesbar.

Hier eine kleine Liste gängiger Mail-Clients und Web-Frontends zum Lesen von E-Mails sowie deren S/MIME-Unterstützung:

S/MIME unterstützt: Erkennung und automatische Verfikation der Signatur
S/MIME ignoriert: Die Signatur wird nicht überprüft und lediglich als Anhang angezeigt
Mail unlesbar: Eine S/MIME-signierte E-Mail kann nicht gelesen werden, verursacht durch einen kaputten Mail-Client

Links

Downloads