Zertifikate suchen und abrufen

Eigene Zertifikate

Ihre eigenen Zertifikate sind Kernbestandteil Ihrer digitalen IDs. Um an das Zertifikat zu gelangen, können Sie die digitale ID zerlegen.

Fremde Zertifikate

In den meisten Fällen ist es nicht nötig, fremde Zertifikate zu suchen:

  • Wenn Sie eine signierte E-Mail empfangen, sind alle relevanten Zertifikate in der Signatur enthalten.

  • Wenn Sie ein signiertes Dokument öffnen, sind alle relevanten Zertifikate in der Signatur enthalten.

  • Wenn Sie eine signierte Software installieren, sind alle relevanten Zertifikate in der Signatur enthalten.

  • Wenn Sie eine sichere Verbindung zu einem Server aufbauen, übermittelt der Server alle relevanten Zertifikate während des Verbindungsaufbaus.

  • Wenn Personen sich mit einem Zertifikat gegenüber Ihrem Server ausweisen, übermitteln sie ebenfalls alle relevanten Zertifikate während des Verbindungsaufbaus.

Wenn Sie allerdings eine verschlüsselte E-Mail(*) versenden möchten, kann es sein, dass Sie sich vorher das Zertifikat des Empfängers besorgen müssen. Dazu gibt es mehrere Möglichkeiten:

  • Sie haben bereits einmal mit dem gleichen E-Mail-Programm eine signierte E-Mail von diesem Empfänger erhalten und geöffnet. Dann hat sich Ihr E-Mail-Programm die in der Signatur enthaltenen Zertifikate gemerkt und Sie können sie einfach benutzen. (Einzige bekannte Ausnahme: Microsoft Outlook. Hier müssen Sie die Zertifikate explizit in Ihr Adressbuch übernehmen, siehe den letzten Abschnitt unserer Anleitung.)

  • Sie bitten den Empfänger per signierter, aber unverschlüsselter E-Mail, Ihnen einmal eine solche signierte E-Mail zuzusenden.

  • Sie benutzen ein Adressbuch, in dem das Zertifikat des gewünschten Empfängers enthalten ist:

    • Das LDAP-Adressbuch usercerts.uni-muenster.de (Port 636 (LDAPS)) kennt unter der Base-DN ou=certs,dc=uni-muenster,dc=de alle veröffentlichten E-Mail-Zertifikate der Universität Münster. Dieses Adressbuch kann einfach als externes Adressbuch in Thunderbird und andere E-Mail-Programme eingetragen werden.

    • Das zentrale Microsoft-Exchange-System der Universität Münster kennt alle veröffentlichten E-Mail-Zertifikate aller Nutzenden dieses Systems.

* Allgemeine Anmerkungen zum Verschlüsseln von E-Mails

(Diese Anmerkungen betreffen das Verschlüsseln, nicht das Signieren.)

Wie die erfolgreichen EFAIL-Angriffe gezeigt haben, gibt es unterschiedlichste Schwachstellen sowohl in den S/MIME- und PGP/MIME-Protokollen selbst als auch in vielen Implementierungen.

Die Fehler in den Implementierungen konnten bzw. können behoben werden, die grundsätzlichen Schwachstellen im Protokoll selbst sind irreparabel. (Das Problem liegt weniger in den Verschlüsselungsalgorithmen selbst, sondern darin, wie diese in den Protokollen verwendet und diese wiederum in der Software umgesetzt werden.)

Zur Absicherung mäßig vertraulicher Kommunikation ohne Anforderungen an Langzeitsicherheit mag S/MIME noch ausreichend sicher sein; wenn es aber um wirklich vertrauliche Daten geht, können wir nicht mehr empfehlen, diese per E-Mail auszutauschen.

Hier sollten Sie auf moderne, von Grund auf auf Ende-zu-Ende-Sicherheit konzipierte und von erfahrenen Kryptologen gründlich analysierte und empfohlene moderne Software zurückgreifen, beispielsweise auf den Messenger „Signal“.