Zertifizierung LUH-CA – FAQ-Antworten

ALLGEMEINE FRAGEN

Warum bringt mein Browser oder E-Mail-Client einen Fehler?

Die CA-Zertifikate der DFN-PCA und der UH-CA sind in den gängigen Browsern und Mail-Klienten nicht vorinstalliert (Uneingeschränkt gültig nur für Zertifikate, die vor dem 27.03.07 beantragt wurden -Sicherheitsniveau Classic). Daraus resultieren  Fehlermeldungen, die darauf hinweisen, dass die Zertifizierungskette nicht vollständig  ist und deshalb das Zertifikat nicht als vertrauenswürdig eingestuft werden kann. 

Nachdem Sie die CA-Zertifikate nachinstalliert haben, erscheinen solche Warnmeldungen nicht mehr. Auf unserer Seite Informationen zur digitalen Signatur finden Sie sowohl die CA-Zertifikate als auch Informationen zu den Warnmeldungen verschiedener Browser.

Wo liegt der Unterschied zwischen digital signierten und verschlüsselten E-Mails?

Mit Hilfe Ihres E-Mail-Clients können Sie sowohl digital signierte und/oder auch verschlüsselte Nachrichten versenden.

Das Verschlüsseln von Nachrichten erfolgt mit dem öffentlichen Schlüssel des Empfängers, der wiederum die Nachricht mit seinem dazugehörigen privaten Schlüssel entschlüsseln kann. Nur der Empfänger kennt diesen Schlüssel, nur er kann die Nachricht lesen. Durch die Verschlüsselung wird Vertraulichkeit hergestellt.

Im Gegensatz dazu verwenden Sie für die digitale Signatur Ihren privaten Schlüssel. Der Empfänger kann mit Ihrem, jedem zur Verfügung stehenden, öffentlichen Schlüssel die Nachricht lesen. Das kann in der Schlussfolgerung nur bedeuten, dass Sie die Nachricht verfasst haben, denn nur Sie sind im Besitz Ihres privaten Schlüssels. Durch die digitale Signatur kann Authentizität, Integrität und Nicht-Abstreitbarkeit einer E-Mail oder eines Dokumentes hergestellt werden.

Was macht die CA?

Die Zertifizierungsstelle (CA) arbeitet als vertrauenswürdige Instanz, die eine eindeutige, zweifelsfreie Zuordnung zwischen einem Schlüsselpaar (öffentlicher und privater Schlüssel) und einer Person oder einem Rechner herstellt.

Was ist ein Fingerprint?

Der Fingerprint ist eine eindeutige Zahl, die einem Zertifikat zugeordnet ist. Die Zahl selbst ist nicht Teil des Zertifikates, sondern lässt sich aus dem Inhalt berechnen (Hash-Verfahren). Selbst, wenn sich der Inhalt des Zertifikates nur um ein Zeichen ändert, erhält man eine andere Zahl. Daher benutzt man den Fingerabdruck zur Überprüfung von Zertifikaten. So können Sie z.B. die auf den Webseiten der DFN-PKI veröffentlichten Fingerprints mit denen des in Ihrem Browser geladenen DFN-Root-Zertifikates vergleichen. Halten Sie den ganzen Internet-Verkehr für unsicher, dann können Sie sich natürlich auch telefonisch den Fingerprint durchgeben lassen.

INTERNET EXPLORER/OUTLOOK EXPRESS

Outlook zeigt eine Sicherheitsmeldung an. Kann ich die Nachricht öffnen?

Beunruhigende Warnmeldungen wie der Sicherheitshinweis von Microsoft Outlook Express sollten Sie trotz ihrer Aufmachung sachlich betrachten. Nachdem Sie die Wurzelzertifikate installiert haben erscheinen solche Warnmeldungen dann auch nicht mehr.

Wie ändere ich im Internet Explorer die Einstellung der Sicherheitsstufe für den privaten Schlüssel?

Problem:
Für den Fall, dass Sie beim Erstellen des Zertifikatsantrages für den privaten Schlüssel nicht die hohe Sicherheitstsufe eingestellt haben wird beim Signieren einer E-Mail kein Passwort abgefragt.
Es besteht somit die Gefahr, dass ein Virus mit eigener SMTP-Engine (versendet eigenständig Mails an z.B. die Einträge im Adressbuch) nun möglicherweise auch signierte E-Mails verschicken kann. Darum sollte unbedingt immer die hohe Sicherheitsstufe eingestellt werden, um zu gewährleisten, dass für signierte E-Mails immer ein Passwort abgefragt wird, sodass der oben beschriebene Fall nach Virusbefall verhindert wird.

So ändern Sie die Sicherheitsstufe für Ihren privaten Schlüssel:
Sie benötigen den Datenträger, auf der Sie ihren privaten Schlüssel gespeichert haben.
Importieren Sie sich Ihr Zertifikat, das Sie auf Ihrer Diskette gespeichert haben. Öffnen Sie es und wählen Sie Weiter.
Bei der nun folgenden Kennwortabfrage geben Sie das Kennwort für Ihren privaten Schlüssel an, das Sie zuvor beim Exportieren benutzt haben und setzen Sie das Häkchen für die Hohe Sicherheit.
(Dieses Kennwort ist nicht zu verwechseln mit dem Kennwort für die hohe Sicherheitsstufe für Ihr Zertifikat. Mit diesem Kennwort hatten Sie Ihren privaten Schlüssel auf der Diskette vor missbräuchlichen Zugriff geschützt.) Wählen Sie Zertifikatsspeicher automatisch auswählen und Weiter und dann Fertig Stellen.
Hier sollten Sie die Sicherheitsstufe einstellen wählen und das Häckchen bei Hoch setzen.
Sie werden nun zur Eingabe eines Kennwortes aufgefordert. Damit wird die Datei, die die eigenen Zertifikate beinhaltet, zum Schutz vor Missbrauch verschlüsselt. Überlegen Sie sich einen Namen und ein Kennwort und bestätigen Sie dieses noch einmal. Dieses Kennwort wird bei jeder signierten Mail abgefragt werden.
Drücken Sie Fertig Stellen. Die Sicherheitsstufe wurde geändert .
Bestätigen Sie mit OK.

Sichern Sie Ihr Zertifikat jetzt wieder auf einem Datenträger.
Beim Senden einer digital signierten Mail werden Sie nun in Outlook immer zur Eingabe Ihres Kennwortes aufgefordert werden.
Die Sicherheitsstufe ist jetzt von mittel auf hoch geändert worden.

Wie gelange ich in den Zertifikatspeicher meines Browsers?

Wählen Sie im Menü unter "Extras" die "Internet Optionen". Klicken Sie unter dem Reiter "Inhalte" den Button "Zertifikate" an.
Hier können Sie sich unter den jeweiligen Reitern (Eigene Zertifikate – Vertrauenswürdigen Stammzertifizierungsstellen) entweder Ihr eigenes Zertifikat anzeigen lassen oder das anderer Teilnehmer. Sie können sich auch das Wurzelzertifikat des DFN und das UH-CA Zertifikat anzeigen lassen.

Wie verschlüssele und signiere ich eine Nachricht?

Klicken Sie beim Verfassen einer neuen E-Mail den vorgesehenen Button an oder aber wählen Sie unter dem Menüpunkt "Extras" "verschlüsseln und/oder digital signieren".

MOZILLA/THUNDERBIRD

Warum installiert Thunderbird die Zertifikate nicht automatisch?

Für die Nutzer von Firefox/Thunderbird ergibt sich folgende Problematik:

Da mit der Trennung von Browser und Mail-Client auch getrennte Zertifikatspeicher verwendet werden, müssen die Zertifikate in beide Programme eingebaut werden. Für Firefox genügt dazu das Anklicken der  Links für die CA-Zertifikate und des Links in der Benachrichtigungs-E-Mail  für das eigene Zertifikat.

Thunderbird-Nutzer müssen:
1. zum Import der CA-Zertifikate die Dateien, auf die die Links verweisen, auf ihrem Rechner sichern (rechte Maustaste, Ziel speichern unter)

2. diese Dateien anschliessend in Thunderbird importieren (das Zertifikat-Management findet sich unter Extras/Einstellungen/Erweitert (Windows) bzw. Edit/Preferences/Advanced (Linux).

Der Zertifikatspeicher besteht aus vier Teilen: eigene Zertifikate, Zertifikate anderer Personen, Websites (Server-Zertifikate) sowie Zertifizierungsstellen (hier müssen die CA-Zertifikate über "importieren" installiert werden).

3. Für den Import des persönlichen Zertifikates muss dieses als pk12-Datei über die Backup-Funktion aus Firefox exportieren werden (das Zertifikat-Management findet sich unter Extras/Einstellungen/Erweitert).

4. Der Import in Thunderbird erfolgt wie unter 3. beschrieben, diesmal unter der Rubrik "eigenen Zertifikate".

Wie verschlüssele und signiere ich eine Nachricht?

Wählen Sie unter Sicherheit die gewünschte Option.