Wichtiger Hinweis

Bitte erneuern Sie schon jetzt alle persönlichen, unpersönlichen und Server-IDs, die im 1. Halbjahr 2025 auslaufen werden.

Die Firma Sectigo, von der wir aktuell unsere digitalen IDs (Zertifikate) beziehen, hat die Zusammenarbeit mit den europäischen Forschungsnetzen gekündigt und will die Zertifikatausstellung vorzeitig einstellen. Es ist also möglich, dass wir demnächst für eine längere Zeit keine neue digitalen IDs mit browserverankerten Zertifikate mehr erhalten können. (Ein neuer Anbieter wird bereits gesucht.) Den aktuellen Stand dieser unerfreulichen Entwicklungen können Sie auf den DFN-PKI-Seiten nachlesen.

Bitte unbedingt alles lesen!

Bitte beachten Sie nicht nur die Bilder der nachfolgenden Anleitung, sondern lesen Sie unbedingt auch die einleitenden Erläuterungen und die Hinweise zwischen den einzelnen Abbildungen gründlich durch!

E-Mails elektronisch unterschreiben
und im WWW ohne Passwort anmelden

Um E-Mails elektronisch zu unterschreiben, benötigen Sie eine für diesen Zweck geeignete digitale ID.

Im IT-Portal erhalten Sie solche digitalen IDs von einem international anerkannten Vertrauensdienstleister.

Die mit diesen digitalen IDs erstellten E-Mail-Unterschriften werden weltweit von aller modernen E-Mail-Software automatisch als gültig und die unterschriebenen E-Mails als echt anerkannt.

Diese digitalen IDs können außerdem verwendet werden, um sich im WWW an den im zentralen Single-Sign-On der Universität Münster eingebundenen Webdiensten ohne Passwort anzumelden.

Weiterhin können andere E-Mail-Nutzende weltweit Ihnen verschlüsselte E-Mails zusenden, die ausschließlich Sie als Inhaber der digitalen ID lesen können.(*)

Persönliche und unpersönliche digitale IDs

Digitale IDs können nur von natürlichen Personen beantragt werden, die der Universität oder der Kunstakademie angehören.

Einerseits können diese Personen persönliche digitale IDs für sich selbst beantragen. Diese digitalen IDs enthalten die E-Mail-Adresse und die Organisationszugehörigkeit und, nur falls die Identität ausreichend überprüft wurde, auch den Namen des Inhabers und dürfen ausschließlich vom Inhaber persönlich genutzt werden.

Andererseits können diese Personen, falls diese ein Amt bekleiden, eine konkrete Funktion ausüben oder für eine genau definierte Gruppe verantwortlich sind, unpersönliche digitale IDs für dieses Amt bzw. für diese Gruppe beantragen. Diese digitalen IDs enthalten nur die E-Mail-Adresse und die Organisationszugehörigkeit und können an den Amtsnachfolger bzw. an vertrauenswürdige Gruppenmitglieder weitergegeben werden.

Beide Sorten digitaler IDs können im IT-Portal unter „Digitale ID (Zertifikat)“ beantragt werden.

Widerrufe

Falls jemals eine digitale ID in unbefugte Hände fallen sollte („kompromittiert“ wird), ist die antragstellende Person verpflichtet, die digitale ID sofort im IT-Portal widerrufen zu lassen.

Ebenfalls müssen digitale IDs zwingend widerrufen werden, wenn Angaben nicht mehr stimmen, also Name, E-Mail-Adressen oder Organisationszugehörigkeit nicht mehr zutreffen.

Die Universitätszertifizierungsstelle Münster (UCAM) ist berechtigt und sogar verpflichtet, digitale IDs ohne Vorwarnung zu widerrufen, wenn es von solchen Umständen erfährt.

Anleitungen

Bitte klicken Sie auf die Abbildungen, um Sie zu vergrößern.

Bitte ersetzen Sie meine Uni-Kennung „perske“, meine E-Mail-Adressen und meine sonstigen Angaben durch Ihre eigenen Daten.

  • Anleitung: Digitale ID für E-Mails im IT-Portal beantragen

    Melden Sie sich bitte im IT-Portal an:

    Zur Anmeldung verwenden Sie üblicherweise Uni-Kennung und Uni-Passwort. Falls Sie bereits eine digitale ID (für E-Mail und WWW) besitzen, können Sie aber auch diese verwenden:

    Nach der Anmeldung im IT-Portal können wichtige Hinweise erscheinen. Ein hier gezeigter Hinweis auf fehlende Zwei-Faktor-Sicherheit wäre durchaus wichtig, denn Sie können überhaupt nur dann digitale IDs erhalten, wenn Sie Zwei-Faktor-Sicherheit eingerichtet haben.

    Wählen Sie den Bereich „Digitale ID (Zertifikat)“:

    Dort klicken Sie auf „Neue persönliche ID (Uni)“ oder in der richtigen Zeile auf „Beantragen“.

    Falls Sie für unpersönliche E-Mail-Adressen verantwortlich sind und für diese eine digitale ID beantragen möchten, klicken Sie stattdessen auf „Neue unpersönl. ID (Uni)“. Dann erscheinen andere, aber sehr ähnliche Seiten.

    Angehörige der Kunstakademie Münster verwenden die Knöpfe mit „(KA)“ statt „(Uni)“:

    Auf der folgenden Seite beachten Sie bitte zuerst die ausführlichen Hinweise. Wählen Sie dann aus, welche Angaben in die digitale ID aufgenommen werden sollen:

    Möglicherweise werden Sie nicht alle mit Ihrer Person verbundenen E-Mail-Adressen auch ins Zertifikat aufnehmen wollen. Dann entfernen Sie die entsprechenden Häkchen.

    Angehörige der Kunstakademie Münster sehen hier entsprechende Eingabemöglichkeiten.

    Natürlich können Sie nur dann ein Zertifikat erhalten, wenn Sie bereit sind, die damit verbundenen Verpflichtungen einzugehen.

    Auf der nächsten Seite werden Sie die digitale ID als PKCS#12-Datei herunterladen. Diese Datei wird zur Sicherheit mit einem Passwort verschlüsselt. Wählen Sie bitte ein gutes Passwort und tippen Sie es zweimal ein.

    Bitte notieren Sie sich dieses Passwort und bewahren Sie es sehr sorgfältig auf!
    Bei Verlust kann Ihnen niemand helfen, auch wir nicht!

    Sie können die neue digitale ID auch direkt in unseren Webmailer perMail importieren lassen.

    Mit einem Klick auf den Button beantragen Sie dann Ihre neue digitale ID.

    Jetzt kann es auch mal einige Minuten dauern, bis Ihr Zertifikat von unserem Dienstleister ausgestellt wird, bitte haben Sie Geduld:

    Dann ist Ihre digitale ID fertig und, falls gewünscht, auch im Webmailer perMail eingerichtet:

    Der Download der digitalen ID sollte automatisch starten, kann aber auch von Hand gestartet werden.

    Bitte speichern Sie Ihre digitale ID sorgfältig ab!

    Sobald Sie die Seite verlassen, besteht keine Möglichkeit mehr, die digitale ID erneut herunterzuladen!

    Die meiste Software benötigt Ihre digitale ID im traditionellen Format. Es gibt auch bereits Software, die das moderne Format verlangt. Bitte speichern Sie Ihre digitale ID daher in beiden Formaten ab, dann können Sie beim Importieren in eine Software einfach beide Formate ausprobieren.

    Bitte beachten Sie unbedingt auch die wichtigen Hinweise:

    Das weitere Vorgehen hängt von Ihrer E-Mail- und WWW-Software ab.

  • Anleitungen: Digitale IDs in E-Mail-Software einbauen und nutzen

    Diese Anleitungen beschreiben, wie Sie eine digitale ID in E-Mail-Software einbauen und damit verwenden können:

    (Einige dieser Anleitungen zeigen ältere Versionen, aber wir arbeiten daran.)

    Weitere Anleitungen müssen noch geschrieben werden.

    Falls Ihre E-Mail-Software oben nicht aufgeführt ist, sollten Sie sich die Anleitung für Mozilla Thunderbird anschauen – die meiste E-Mail-Software funktioniert sehr ähnlich.

    Falls es für das von Ihnen eingesetzte Gerät bzw. für die von Ihnen eingesetzte Software ein Bedienungshandbuch gibt, sollten Sie dieses zurate ziehen. Suchen Sie im Inhaltsverzeichnis oder Index nach Schlagwörtern wie „S/MIME“, „Zertifikat“, „PKCS#12“, „Signieren“, „Signatur“, „Verschlüsseln“.

    (Leider hat das Wort „Signatur“ im E-Mail-Kontext zwei völlig verschiedene Bedeutungen: Es bezeichnet sowohl die Fußzeilen, in denen man üblicherweise Kontaktangaben unterbringt, als auch die kryptografische Unterschrift, welche die eigenhändige Unterschrift ersetzt.)

  • Anleitungen: Digitale IDs in WWW-Software einbauen und nutzen

    Diese Anleitungen beschreiben, wie Sie eine digitale ID in WWW-Software einbauen und damit verwenden können:

    (Einige dieser Anleitungen zeigen ältere Versionen, aber wir arbeiten daran.)

    • Mozilla Firefox

    • Microsoft Edge, Chrome und andere Software unter Windows:

    • Apple Safari, Chrome und andere Software unter MacOS:

      • Diese verwenden die in Apple Mail importierten digitalen IDs

        (Wir hören auffällig oft, dass Personen mit Apple Safari Probleme haben, und empfehlen daher, Firefox oder Chrome zu nutzen.)

    • Chromium unter Linux:

      • Unter Einstellungen → Datenschutz und Sicherheit → Sicherheit → Zertifikate verwalten gelangen Sie zu einer Einstellungsseite, die der von Mozilla Firefox ähnelt

    Weitere Anleitungen müssen noch geschrieben werden.

  • (Nur für spezielle Anwendungen) Weitere Anleitungen

    Diese Anleitungen gelten nur für die angegebenen Situationen.

* Allgemeine Anmerkungen zum Verschlüsseln von E-Mails

(Diese Anmerkungen betreffen das Verschlüsseln, nicht das Signieren.)

Wie die erfolgreichen EFAIL-Angriffe gezeigt haben, gibt es unterschiedlichste Schwachstellen sowohl in den S/MIME- und PGP/MIME-Protokollen selbst als auch in vielen Implementierungen.

Die Fehler in den Implementierungen konnten bzw. können behoben werden, die grundsätzlichen Schwachstellen im Protokoll selbst sind irreparabel. (Das Problem liegt weniger in den Verschlüsselungsalgorithmen selbst, sondern darin, wie diese in den Protokollen verwendet und diese wiederum in der Software umgesetzt werden.)

Zur Absicherung mäßig vertraulicher Kommunikation ohne Anforderungen an Langzeitsicherheit mag S/MIME noch ausreichend sicher sein; wenn es aber um wirklich vertrauliche Daten geht, können wir nicht mehr empfehlen, diese per E-Mail auszutauschen.

Hier sollten Sie auf moderne, von Grund auf auf Ende-zu-Ende-Sicherheit konzipierte und von erfahrenen Kryptologen gründlich analysierte und empfohlene moderne Software zurückgreifen, beispielsweise auf den Messenger „Signal“.