Jochen Fahrner wrote:
Ich kenne nur 3 Anbieter von kostenlosen Zertifikaten: StartSSL und Comodo laufen nur 1 Jahr und lassen sich nicht verlängern, man braucht jedes Jahr ein neues. Das macht das entschlüsseln von archivierten Mails nicht einfacher.
Hier muss ich noch unbedingt ein weit verbreitetes Missverständnis aufklären:
Mit alten privaten Schlüsseln kann man natürlich unabhängig von der begrenzten Gültigkeitsdauer des Public-Key-Zertifikats alte S/MIME-verschlüsselte E-Mails entschlüsseln, solange eben die Key-History in den aktuell genutzten MUA migriert werden kann.
Meine S/MIME Key History enthält Schlüssel der letzten 16 Jahre, Zertifikatgültigkeit immer je ein Jahr, und wurde immer brav automagisch migriert obwohl sich das Format der Key-DB änderte: Netscape Communicator 4.5 -> Mozilla Suite (div. Versionen) -> Seamonkey (div. Versionen)
Die begrenzte Gültigkeitsdauer halte ich aber für sinnvoll, da man regelmäßig gezwungen wird, sich ein neues Schlüsselpaar zu erzeugen. Theoretisch könnte man auch den alten öfftl. Schlüssel immer wieder neu signieren (lassen). Aber das machen die Enrollment-Schnittstellen (glücklicherweise) meist nicht.
Lediglich S/MIME-Signaturen werden nach Ablauf der Gültigkeitsdauer des Public-Key-Zertifikats als nicht mehr gültig angezeigt. Je nach Betrachtungsweise ist das sinnvoll oder auch nicht.
Ich habe oft genug in Projekten bei normalen Benutzern auch initial 1st-level-Support gemacht. Das Hauptproblem ist, an die Empfängerschlüssel ausserhalb der eigenen Organisation zu kommen.
Ciao, Michael.