Tipp: Kostenloses S/MIME Zertifikat (Neu!)

In meinem letzten Artikel zu einem kostenlosen S/MIME Zertifikat für das Signieren und Verschlüsseln von E-Mails, ist mir ein blöder Fehler unterlaufen. Im letzten Artikel hatte ich die CA DGNCert empfohlen, welche zwar kostenlose S/MIME Zertifikate anbietet, jedoch ist die CA selbst nicht als “Vertrauenswürdige Stammzertifizierungsstelle” in Windows hinterlegt. Solange also nicht manuell das Stammzertifikat von DGNCert in den Speicher für “Vertrauenswürdige Stammzertifizierungsstelle” hinterlegt wird, gelten die Zertifikate als nicht vertrauenswürdig.

Ich hatte nicht bemerkt, dass sich die CA DGNCert erst beim Erstellen des S/MIME Zertifikats als “Vertrauenswürdige Stammzertifizierungsstelle” einträgt und nicht wie angenommen bereits vorhanden ist.

Ich musste daher meinen ursprünglichen Artikel widerrufen und eingestehen, dass mir hier ein Fehler unterlaufen ist. Dank der Kommentare zum ursprünglichen Artikel ist mir dies überhaupt erst aufgefallen. Ich möchte mich daher an dieser Stelle noch einmal für die Kommentare bedanken, ohne die mir mein Fehler wahrscheinlich gar nicht aufgefallen wäre.

Am 19.02.2019 musste ich den ursprünglichen Artikel allerdings wieder aktualisieren, da nun auch der alternative Link aus den Kommentaren offline geschaltet wurde und nur noch eine 404-Seite liefert. Sectigo, der neue Eigentümer von Comodo bietet nun also keine kostenlosen S/MIME Zertifikate mehr an.

Ich hatte allerdings versprochen, mich auf die Suche nach einer Alternative für kostenlose S/MIME Zertifikate zu begeben. Ich bin auch fündig geworden und habe nun auch besser aufgepasst, daher gibt es nun eine neue Version des Artikels.

Bei Actalis bin ich schließlich auf ein kostenloses S/MIME Zertifikat aufmerksam geworden:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Actalis offers S/MIME certificates trusted on all major platforms and supported by e-mail applications conformant to the S/MIME standard. Thanks to Actalis S/MIME certificates you can make your email really secure, regardless of the features of the email service you use. Actalis provides different S/MIME certificate services according to different applicable policies. See below the essential information about the services available to date.

Aus Fehlern lernt man ja bekanntlich, daher habe ich nun vorab geprüft, ob sich ein entsprechendes Zertifikat von Actalis im Speicher für vertrauenswürdige Stammzertifizierungsstellen befindet:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Auf meinen Windows 10 Rechner ist ein Zertifikat für die “Actalis Authentication Root CA” vorhanden, daher habe ich ein S/MIME Zertifikat angefordert:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Auf den Verification Code per Mail musste ich etwas warten, dieser kam bei mir nach ca. 15 Minuten an. Der Verification Code aus der Mail muss nun kopiert werden:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Der Verification Code wird dann im Formular eingetragen:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Die nächste Seite zeigt nun das Passwort für die PFX-Datei an. Dieses Passwort sollte man an einem sicheren Ort aufbewahren:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Kurze Zeit später schickt Actalis das Zertifikat per Mail. Die PFX-Datei ist mit dem Passwort geschützt welches die Webseite im letzten Schritt angezeigt hat (siehe Kritik):

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Die PFX-Datei kann nun importiert werden und somit ist man im Besitz eines gültigen S/MIME Zertifikats:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Das S/MIME Zertifikat wird von der Sub-CA “Actalis Client Authentication CA G1” ausgestellt, diese CA wurde wiederum von der Actalis Authentication Root CA” signiert, welche sich im Speicher für vertrauenswürdige Stammzertifizierungsstellen von Windows befindet.

Kritik

Der große Knackpunkt an den S/MIME Zertifikaten von Actalis ist, dass der Private Key auf den Servern von Acatlis erstellt wird. Wenn Actalis den privaten Schlüssel speichert, ist die Firma prinzipiell in der Lage die verschlüsselten Mails zu entschlüsseln. Da der private Schlüssel (wie der Name schon sagt) in diesem Fall eben nicht privat ist, sondern vom Anbieter erstellt wurde, muss man hier schon dem Anbieter Actalis entsprechendes Vertrauens entgegen bringen. Hier kann ja jeder selbst entscheiden, es gibt ja schließlich auch andere CAs die S/MIME Zertifikate ausstellen, diese sind dann allerdings kostenpflichtig.

Falls jemand noch andere CAs kennt, die kostenlose S/MIME Zertifikate ausstellen, dann schickt mir doch einen Hinweis oder Kommentar und ich veröffentliche es entsprechend.

19 Kommentare zu “Tipp: Kostenloses S/MIME Zertifikat (Neu!)”

  1. Hallo Franky

    Vielen Dank für die Informationen.

    Kann es sein, dass die CA nicht bei allen Betriebssystemen enthalten ist?

    Ich habe gerade kurz den Zertifikatstore von 2 Windows 10 Clients einem 2016 und einem 2019 Server geprüft.

    Leider finde ich bei allen Systemen keine CA von Actalis Authentication.

    Oder habe ich gerade etwas übersehen?

    Besten Dank für dein Feedback!

    Gruss
    Kevin

  2. Hallo!

    Also mein Windows 10 1809 17763.316 kennt die Actalis CA nicht…

    In meinem Ubuntu ist sie drin…

    Naja, wie dem auch sei – soweit ich das sehe (gerade noch mit einer testweise eingerichteten Mailadresse getestet) funktioniert „ehemals comodo CA“ noch über folgenen Direktlink (im *würg* IE) ganz problemlos, auch wenn man das Angebot über die Webseite nicht mehr finden kann…:
    https://secure.comodo.net/products/frontpage?area=SecureEmailCertificate
    Ausgestellt von „Sectigo RSA Client Authentication and Secure Email CA“

    Gruß,
    Aaron

  3. Danke für den Artikel, sehr schade, das durch den Wegfall kostenloser smime Zertifikate das ganze weniger genutzt wid.

    Weiss jemand, ob letsencrypt die Zertifikate nicht unterstützen wird. Technisch wäre das doch nicht allzuschwer zu realisieren…..

    1. ja funktioniert perfekt – letztendlich ist es
      CN = Sectigo RSA Client Authentication and Secure Email CA
      O = Sectigo Limited
      L = Salford
      S = Greater Manchester
      C = GB

      Signiert von

      CN = USERTrust RSA Certification Authority
      O = The USERTRUST Network
      L = Jersey City
      S = New Jersey
      C = US

  4. … Class 3-Zertifikate für private Nutzung bei https://volksverschluesselung.de/ mit Gültigkeit von jeweils 2 Jahren

    Von der Volksverschlüsselung werden derzeit Zertifikate entsprechend dem ITU-T-Standard X.509 ausgestellt und verwaltet. X.509 ist der am weitesten verbreitete Standard und wird von den gängigen E-Mail-Clients und Web-Browsern standardmäßig unterstützt.

    Jeder Nutzer erhält jeweils ein Zertifikat für Verschlüsselung, Authentifizierung und Signatur, die in unterschiedlichen Anwendungen eingesetzt werden können. Neben der Absicherung von E-Mails (Signatur und Verschlüsselung) mit S/MIME ist somit beispielsweise auch die sichere Kommunikation mit Web-Seiten mittels TLS möglich, wenn ein Server nach einem persönlichen Zertifikat zur Authentifizierung verlangt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.