Tipp: Kostenloses S/MIME Zertifikat (Neu!)

In meinem letzten Artikel zu einem kostenlosen S/MIME Zertifikat für das Signieren und Verschlüsseln von E-Mails, ist mir ein blöder Fehler unterlaufen. Im letzten Artikel hatte ich die CA DGNCert empfohlen, welche zwar kostenlose S/MIME Zertifikate anbietet, jedoch ist die CA selbst nicht als “Vertrauenswürdige Stammzertifizierungsstelle” in Windows hinterlegt. Solange also nicht manuell das Stammzertifikat von DGNCert in den Speicher für “Vertrauenswürdige Stammzertifizierungsstelle” hinterlegt wird, gelten die Zertifikate als nicht vertrauenswürdig.

Ich hatte nicht bemerkt, dass sich die CA DGNCert erst beim Erstellen des S/MIME Zertifikats als “Vertrauenswürdige Stammzertifizierungsstelle” einträgt und nicht wie angenommen bereits vorhanden ist.

Ich musste daher meinen ursprünglichen Artikel widerrufen und eingestehen, dass mir hier ein Fehler unterlaufen ist. Dank der Kommentare zum ursprünglichen Artikel ist mir dies überhaupt erst aufgefallen. Ich möchte mich daher an dieser Stelle noch einmal für die Kommentare bedanken, ohne die mir mein Fehler wahrscheinlich gar nicht aufgefallen wäre.

Am 19.02.2019 musste ich den ursprünglichen Artikel allerdings wieder aktualisieren, da nun auch der alternative Link aus den Kommentaren offline geschaltet wurde und nur noch eine 404-Seite liefert. Sectigo, der neue Eigentümer von Comodo bietet nun also keine kostenlosen S/MIME Zertifikate mehr an.

Ich hatte allerdings versprochen, mich auf die Suche nach einer Alternative für kostenlose S/MIME Zertifikate zu begeben. Ich bin auch fündig geworden und habe nun auch besser aufgepasst, daher gibt es nun eine neue Version des Artikels.

Bei Actalis bin ich schließlich auf ein kostenloses S/MIME Zertifikat aufmerksam geworden:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Actalis offers S/MIME certificates trusted on all major platforms and supported by e-mail applications conformant to the S/MIME standard. Thanks to Actalis S/MIME certificates you can make your email really secure, regardless of the features of the email service you use. Actalis provides different S/MIME certificate services according to different applicable policies. See below the essential information about the services available to date.

Aus Fehlern lernt man ja bekanntlich, daher habe ich nun vorab geprüft, ob sich ein entsprechendes Zertifikat von Actalis im Speicher für vertrauenswürdige Stammzertifizierungsstellen befindet:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Auf meinen Windows 10 Rechner ist ein Zertifikat für die “Actalis Authentication Root CA” vorhanden, daher habe ich ein S/MIME Zertifikat angefordert:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Auf den Verification Code per Mail musste ich etwas warten, dieser kam bei mir nach ca. 15 Minuten an. Der Verification Code aus der Mail muss nun kopiert werden:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Der Verification Code wird dann im Formular eingetragen:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Die nächste Seite zeigt nun das Passwort für die PFX-Datei an. Dieses Passwort sollte man an einem sicheren Ort aufbewahren:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Kurze Zeit später schickt Actalis das Zertifikat per Mail. Die PFX-Datei ist mit dem Passwort geschützt welches die Webseite im letzten Schritt angezeigt hat (siehe Kritik):

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Die PFX-Datei kann nun importiert werden und somit ist man im Besitz eines gültigen S/MIME Zertifikats:

Tipp: Kostenloses S/MIME Zertifikat (Neu!)

Das S/MIME Zertifikat wird von der Sub-CA “Actalis Client Authentication CA G1” ausgestellt, diese CA wurde wiederum von der Actalis Authentication Root CA” signiert, welche sich im Speicher für vertrauenswürdige Stammzertifizierungsstellen von Windows befindet.

Kritik

Der große Knackpunkt an den S/MIME Zertifikaten von Actalis ist, dass der Private Key auf den Servern von Acatlis erstellt wird. Wenn Actalis den privaten Schlüssel speichert, ist die Firma prinzipiell in der Lage die verschlüsselten Mails zu entschlüsseln. Da der private Schlüssel (wie der Name schon sagt) in diesem Fall eben nicht privat ist, sondern vom Anbieter erstellt wurde, muss man hier schon dem Anbieter Actalis entsprechendes Vertrauens entgegen bringen. Hier kann ja jeder selbst entscheiden, es gibt ja schließlich auch andere CAs die S/MIME Zertifikate ausstellen, diese sind dann allerdings kostenpflichtig.

Falls jemand noch andere CAs kennt, die kostenlose S/MIME Zertifikate ausstellen, dann schickt mir doch einen Hinweis oder Kommentar und ich veröffentliche es entsprechend.

39 Kommentare zu “Tipp: Kostenloses S/MIME Zertifikat (Neu!)”

  1. Hallo Franky

    Vielen Dank für die Informationen.

    Kann es sein, dass die CA nicht bei allen Betriebssystemen enthalten ist?

    Ich habe gerade kurz den Zertifikatstore von 2 Windows 10 Clients einem 2016 und einem 2019 Server geprüft.

    Leider finde ich bei allen Systemen keine CA von Actalis Authentication.

    Oder habe ich gerade etwas übersehen?

    Besten Dank für dein Feedback!

    Gruss
    Kevin

    1. Die hier in den Kommentaren immer wieder diskutierte Unklarheit, ob das Stammzertifikat denn nun im Windows-Zertifikatspeicher standardmäßig installiert ist, ist vermutlich im Wesentlichen durch eine seltsame, fragwürdige Eigenheit von Windows Vista und neuer bedingt: Stammzertifikate werden erst dann über Microsoft Update im Hintergrund abgerufen, wenn sie zur Validierung benötigt werden. Also wenn man eine Webseite über einen Browser abruft oder eine signierte Mail in einem Mailclient öffnet, der den Windows-Zertifikatspeicher verwendet (z. B. Internet Explorer, Edge, Chrome, Outlook, „Mail und Kalender“ … aber nicht Firefox oder Thunderbird). Siehe
      https://support.microsoft.com/de-de/help/3004394/support-for-urgent-trusted-root-updates-for-windows-root-certificate-p

      How Root Certificate Distribution Works

      Starting with the release of Windows Vista, root certificates are updated on Windows automatically. When a user visits a secure Web site (by using HTTPS SSL), reads a secure email (S/MIME), or downloads an ActiveX control that is signed (code signing) and encounters a new root certificate, the Windows certificate chain verification software checks the appropriate Microsoft Update location for the root certificate. If it finds it, it downloads it to the system. To the user, the experience is seamless. The user does not see any security dialog boxes or warnings. The download happens automatically, behind the scenes.

    1. Hallo Jens,

      das kostenlose Zertifikat von Secorio hat nur eine Gültigkeit von einem Monat. Abgesehen vom Aufwand, sich einmal im Monat ein neues Zertifikat ausstellen zu müssen, ist es für eine verschlüsselte Kommunikation unbrauchbar, da der Empfänger auch sehr schnell einen ganzen Sack Zertifikate verwalten muss, um den Nachrichtenverlauf auch später noch lesen zu können. Diese Zertifikate sind in meinen Augen nur zum Ausprobieren geeignet.

      Viele Grüße
      Florian

  2. Hallo!

    Also mein Windows 10 1809 17763.316 kennt die Actalis CA nicht…

    In meinem Ubuntu ist sie drin…

    Naja, wie dem auch sei – soweit ich das sehe (gerade noch mit einer testweise eingerichteten Mailadresse getestet) funktioniert „ehemals comodo CA“ noch über folgenen Direktlink (im *würg* IE) ganz problemlos, auch wenn man das Angebot über die Webseite nicht mehr finden kann…:
    https://secure.comodo.net/products/frontpage?area=SecureEmailCertificate
    Ausgestellt von „Sectigo RSA Client Authentication and Secure Email CA“

    Gruß,
    Aaron

  3. Danke für den Artikel, sehr schade, das durch den Wegfall kostenloser smime Zertifikate das ganze weniger genutzt wid.

    Weiss jemand, ob letsencrypt die Zertifikate nicht unterstützen wird. Technisch wäre das doch nicht allzuschwer zu realisieren…..

    1. ja funktioniert perfekt – letztendlich ist es
      CN = Sectigo RSA Client Authentication and Secure Email CA
      O = Sectigo Limited
      L = Salford
      S = Greater Manchester
      C = GB

      Signiert von

      CN = USERTrust RSA Certification Authority
      O = The USERTRUST Network
      L = Jersey City
      S = New Jersey
      C = US

    2. Prinzipiell funktioniert es. Es wird jedoch im Zertifikatsspeicher angezeigt als „Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden.“. Das hat zur Folge, dass mir meine E-Mail-Partner keine verschlüsselten E-Mails mehr zuschicken können, es sei denn, die Empfänger stufen das Zertifikat explizit als „vertrauenswürdig“ ein, was für einige Empfänger schwierig ist.
      Bei den bisherigen Comodo-Zertifikaten gab es dieses Problem nicht.

  4. … Class 3-Zertifikate für private Nutzung bei https://volksverschluesselung.de/ mit Gültigkeit von jeweils 2 Jahren

    Von der Volksverschlüsselung werden derzeit Zertifikate entsprechend dem ITU-T-Standard X.509 ausgestellt und verwaltet. X.509 ist der am weitesten verbreitete Standard und wird von den gängigen E-Mail-Clients und Web-Browsern standardmäßig unterstützt.

    Jeder Nutzer erhält jeweils ein Zertifikat für Verschlüsselung, Authentifizierung und Signatur, die in unterschiedlichen Anwendungen eingesetzt werden können. Neben der Absicherung von E-Mails (Signatur und Verschlüsselung) mit S/MIME ist somit beispielsweise auch die sichere Kommunikation mit Web-Seiten mittels TLS möglich, wenn ein Server nach einem persönlichen Zertifikat zur Authentifizierung verlangt.

    1. ich hab das grade mal getestet.. man muss da erst eine softare runterladen udn sich entweder mit dem Neuen Personalausweis oder Telekom oder code per post Verifizieren.. und dann kann man ein Cert erstellen lassen da stellt sich halt nur die frage was mit dem privatenschlüssel passiert es schjeint so als wird der wohl an dei server von sonstwem gesendet oder auch direkt dort erstellt.. da muss man schon vertrauen in die software / firma haben

      1. Das Zertifikat wird auf Basis einer Frauenhofer CA ausgestellt. Dieses ist in keinem gängigen System vorhanden. Die Software schiebt die CA und das Zwischenzertifikat still und heimlich in den Windows Zertifikatsstore. Beim Empfänger ist es also als nicht vertrauenswürdig klassifiziert. Nicht besser als ein Self-signing-cert.

    1. die wollen zwar eine kredikarte haben.. okay hab ich ihnen ne prepaid kredikarte gegeben es wirde nichts abgezogen aber das SSL cert kommt „powered by sertico“ (comodo) und ist nur 30 tage gültig aber hey zumindest gabs noch gratis kunden daten für instantssl ;)

    1. WISE hatte ich auch mal probiert, da wurde der private Schlüssel aber auch auf dem Server generiert, wenn ich mich recht erinnere.

    1. Hallo Jen,

      genau das ist das Problem. Wenn ich die Seite aufrufe, bekomme ich eine Zertifikatswarnung angezeigt, weil das Root-Zertifikat des Ausstellers nicht zum „Standard“ gehört. Ein Problem, dass auch die Volksverschlüsselung hat. Wenn ich (und alle Empfänger, mit denen ich signiert oder verschlüsselt kommunizieren will!) erst ein Root-Zertifikat installieren müssen, das man auch aus vertrauenswürdiger Quelle bekommen muss, kann ich auch gleich meine eigene CA betreiben und selbst Zertifikate ausstellen. Nutze ich das nur im familiären Umfeld oder im Bekanntenkreis, ist das sogar vertrauenswürdiger als die Nutzung einer nur teilweise anerkannten CA in Australien.

      Viele Grüße
      Florian

  5. Hallo

    habe mir heute ebenfalls ein Zertifikat von aktalis besorgt

    ABER:
    weder Thunderbirds unter Ubuntu u. Mac noch das Mac OS interne Programm Mail können mit dem Zertifikat nichts anfangen es wird schlicht weg nicht verwendet. Sprich eine Verschlüsselung funktioniert erst gar nicht

    1. Kann es bei macOS und iOS auch nicht verwenden.

      Unterschiede zu einem Comodo-CERT es gibt bei dem Actalis-CERT den Abschnitt „Netscape-Zertifikatstyp“ mit dem Attribut „Verwendung: S/MIME“ nicht. K.A. ob dies das Problem ist.

      1. Nachdem ich mir unter iOS eine signierte Mail vom Actalis-Account geschickt habe konnte ich von iOd auch verschlüsselt antworten. macOS steht noch aus.

  6. Ich hatte noch eine alte VM herum liegen. Auf Windows 10 1511 ist Actalis noch nicht vorhanden. Ein altes OS X habe ich leider nicht mehr. In macOS ist Actalis aber vorhanden.

  7. Hm, die Terms und Conditions bei Actalis gibt es nicht in englischer Sprache? Ich sehe die nur in Italienisch… Außerdem gab es bei mir beim Anfordern einen „Internal Error“ schade schade!

  8. In Windows 10 ist Actalis nicht vorhanden??
    Seltsam, in Windos 7 ja. Ist da eventl. das Update von CAs abgeschaltet?
    Ich habe zugriff auf ca 20 Windows 10 Rechner da ist Actalis überall vorhanden.

    Hm, ist das jetzt Zufall oder gibt es noch andere Gründe

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.