Jochen Fahrner wrote:
Ich kenne nur 3 Anbieter von kostenlosen Zertifikaten: StartSSL und Comodo laufen nur 1 Jahr und lassen sich nicht verlängern, man braucht jedes Jahr ein neues. Das macht das entschlüsseln von archivierten Mails nicht einfacher. CaCert gefällt mir da besser, aber die Hersteller von Browsern, Maiclients und Betriebssystemen weigern sich beharrlich deren Root-Zertifikat mit auszuliefern. Debian hatte es eine Zeit lang drin, aber kürzlich wieder entfernt. So taugt das auch wieder nur für Nerds die sich das Root-Zertifikat selber installieren.
Hat halt schon auch was mit der mangelnden Auditierbarkeit von CACERT zu tun. Ich habe mir Details nicht durchgelesen, aber der Auditor war da ziemlich lange geduldig.
Kennt hier noch jemand das punktesammelnde Thawte WoT? IIRC war das Vorbild für das Vorgehen bei CACERT. Das wurde leider dichtgemacht als Thawte von Verisign gekauft wurde. Aber so was brauchen wir mit in Standard-Software vorinstallierter Root-CA.
Dann kommt noch erschwerend dazu dass das Nebeneinander von S/MIME und PGP/MIME nur schwer zu handeln ist. Wenn man im Thunderbird beides aktiviert hat kann man eigentlich nur manuell bei jeder Mail festlegen wie sie verschlüsselt werden soll. Nutzt man das Plugin "Encrypt if possible" zusammen mit der automatischen Enigmail-Verschlüsselung, dann kommen die sich in die Quere wenn man von einem Empfänger beides hat.
Das liegt vor allem an dem Scheiss-UI von enigmail, welches den arroganten PGP-Dominanzanspruch ganz gut widerspiegelt. enigmail ist komplett unbrauchbar.
Bevor man anfängt das Problem mit der Key-Verteilung lösen zu wollen, sollte man sich erstmal die Mailclients vornehmen und das ganze benutzbarer machen.
Das ist schon gar nicht so schlecht. Auch wenn's mir schwerfällt zuzugeben: Mit die beste PKI- und S/MIME-Unterstützung haben die Windows-Komponenten und speziell Outlook out-of-the-box (wenn's die Windows-Admins nicht panikmässig abschalten).
Wenn ich Thunderbird installiere, dann muss die Verschlüsselung out-of-the-box funktionieren (wie bei S/MIME), ich will da nicht erst noch Enigmail und gpg4win installieren und konfigurieren müssen.
Ja, und das gilt vor allem auch für Outlook, Lotus Notes et al.
Noch mehr persönliche Erfahrungen: In Projekten bei Grosskonzernen mit eigener PKI bringe ich meinen Ansprechpartnern erst mal bei, wie man die bereits auf den Workstations *vorhandene* S/MIME-Funktionalität nutzt. Es ist echt tragisch: Die Benutzer haben bereits Zertifikate und Client-Software tutti-paletti, wissen es aber nicht zu nutzen. Meist sind's da nur zwei/drei Clicks bis zur verschlüsselten E-Mail und auf meiner Seite höchstens der Import eines Unternehmens-CA-Zertifikats.
Aber wie ich schon sagte: ich halte S/MIME für die bessere Lösung, weil da das meiste schon perfekt funktioniert, der Aufwand bis zum Endziel (einfache Verschlüsselung für die Massen) ist da wesentlich geringer.
Jup..
Ciao, Michael.