Zertifikat aus Signatur wird ausgehend nicht zum Verschlüsseln genutzt

[mabu]

Hallo.

Habe eine Verständnisfrage, da ich keine Idee, habe, warum der NSP das für eine bestimmte externe Mailadresse vorhandene Zertifikat nicht zum Verschlüsseln nutzt.

Unter Partner ist die betroffene Domäne abc.gmbh (also abc in echt was anderes) mit mehreren Benutzereinträgen inkl. Zertifikaten vorhanden.

Nun schaue ich in die Benutzereinträge und dort ist unter "Verschlüsseln" vermerkt "Verschlüsselung nicht unterstützt" (erklärt zumindest, warum Mail nicht verschlüsselt wird).

Schaue ich mir das Zertifikat selbst näher an:

• noch nicht abgelaufen
• Zertifikat ist für folgende Zwecke beabsichtigt: "Schützt E-Mail-Nachrichten"
• ausgestellt von einer Unternehmens-CA, die vom Pfad her erfolgreich zu D-Trust auflöst

Warum sollte das Zertifikat nur für die Signatur der ausgehenden Mail nutzbar sein?

Kann es sein, dass der NSP ein Problem damit hat (evtl. durch die Domäne abc.gmbh)?

Danke vorab für Hinweise.

---

Es scheint doch eher was mit der Domäne abc.gmbh zu tun zu haben.

Ein von der gleichen CA ansonsten identisch ausgestelltes Zertifikat (also auch nur "Schützt E-Mail-Nachrichten") wird zum Verschlüsseln nach extern genutzt. Und in diesem Partner mit abc-test.com als Domänenname wird unter Benutzer auch wirklich angezeigt, dass "Schlüssel wird zu Verschlüsselung eingesetzt" aktiviert ist.

Somit sieht es für mich eher nach einem Bug im NSP aus.

Ich gebe das dann gleich mal an den Support weiter.

 

[StefanCink]

Hallo Martin,

es gibt durchaus  Unternehmen, die Verschlüsselungs- und Signaturzertifikate trennen. Ich vermute auch in Deinem Fall genau das. Ausschlaggebend ist nicht der Punkt "Schützt E-Mail Nachrichten" unter "Enhanced Key Usage", sondern der Eintrag unter "Key Usage". Dort muss zwingend "Key Encipherment, Data Encipherment" stehen, wenn Verschlüsselung möglich sein soll. Ich vermute mal ganz stark, dass in den jeweiligen Zertifikaten lediglich "Digital Signature" steht.

Gruß Stefan

 

[mabu]

Habe doch tatsächlich einen Unterschied gefunden. Die neueren Zertifikate wurden von einer CA mit "abc CA2 2013 XXI" ausgestellt und wollen nicht zum Verschlüsseln genutzt werden.

Die älteren "funktionierenden" sind von der CA "abc CA2 2013 XXIII" -> den Unterschied hatte ich zuerst echt übersehen. Ist aber auch eher zu übersehen.

Und Dein Hinweis ist dann natürlich auch der Richtige - da steht im neuen Zertifikat doch tatsächlich unter "Key usage" nur "Digitale Signatur, Zugelassen (c0)" wo vorher "Schlüsselverschlüsselung, Datenverschlüsselung (30)" stand.

So ein Schei...

Warum tut man sowas? Da fehlt mir doch aktuell noch das praktische Verständnis.

Damit lösche ich mal meine Mailanfrage an Euren Support. War noch am Formulieren.

Danke.

 

[StefanCink]

Hallo Martin,

ich kenne es durch die Zusammenarbeit in der EBCA zum Beispiel von Siemens oder EON. Dort sind die Zertifikate auf einer Smartcard, die gleichzeitig auch der Mitarbeiterausweis ist und für die Anmeldung am PC benötigt wird. Das Zertifikat für die Signatur ist nur auf der Karte des Besitzers hinterlegt. Verschlüsselungszertifikate werden im Rahmen der Stellvertreterregelung auch auf die Karten der Stellvertreter*innen kopiert. Somit kann der Stellvertreter zwar die Nachrichten des anderen entschlüsseln und lesen, nicht aber E-mails in seinem Namen signieren (unterschreiben). 

Das ist jedoch nur ein Beispiel.

Gruß Stefan

 

[mabu]

Morgen.

Genauso habe ich es gestern auch vom zuständigen MA eines der genannten Firmen erklärt bekommen. (Ohne persönliche Kontakte ein Ding der Unmöglichkeit, in so kurzer Zeit jemanden zu erreichen, der wirklich zuständig ist :-/ )

EBCA wurde mir auch als Keyserver mitgeteilt. Soll noch einen weiteren Keyserver per Mail bekommen, den ich mit einrichten soll. Dann probiere ich es noch mal aus.

PS: er teilte mir mit, dass es seit letztem Jahr wohl vermehrt Probleme mit EBCA geben soll (Zertifikate werden nicht gefunden).

 

[StefanCink]

Open Keys fragt den Schlüsselserver der EBCA sowieso schon ab. Es reicht also aus, Open Keys abzufragen.

 

[mabu]

Leider wird mir nur über die EBCA-Seite für die Mailadresse ein Ergebnis geliefert. Bei OpenKeys findet er für die Mailadresse nichts.

PS: vielleicht kann ich da am Nachmittag mal mit dem Support direkt sprechen? Bin telefonisch bisher nicht durchgekommen

 

[StefanCink]

Um welche Domain gehts denn hier? Wir haben gerade festgestellt, dass die Filterliste der EBCA nicht vollständig ist und haben ein Ticket eröffnet. Das heißt, sehr wahrscheinlich haben wir bei der EBCA nicht nachgefragt, weil die Domain der E-Mail-Adresse nicht auf der Filterliste steht. 

Gruß Stefan

 

[mabu]

Geht um epm.gmbh

Ist auf der online zu findenen ECBA-Filterliste auf jeden Fall mit genannt. Für uns sind die e.on Einträge eh am interessantesten - plus alle dazugehörigen Unternehmen.

 

[StefanCink]

Habe die Antwort mal in dem anderen Thread weitergeführt.

 

[JanJäschke]

Für die Vollständigkeit, hier einmal der angesprochene Thread: Nutzung von OpenKeys - Verstädnisfrage

 

[mabu]

Funktioniert jetzt.

Ist aber irgendwie für mich als Admin schwer nachzuvollziehen, warum das vorher nicht gegriffen hat. Auch irgendwie nicht gerade trivial, hier letztlich die Lösung zu bekommen.