Grundsätzlich war und bin ich ein großer Freund von S/MIME. Nicht weil ich etwas gegen PGP/GPG habe aber S/MIME wird in allen E-Mail Clients standardmäßig unterstützt und PGP/GPG musste man bisher bei allen verbreiteten Clients (Outlook, Thunderbird, Apple Mail) nachrüsten.
Leider hat Let’s Encrypt bisher keine S/MIME Zertifikate im Angebot und die Möglichkeiten für kostenlose Zertifikate bei anderen Anbietern werden immer weniger. Bei meiner letzten Überarbeitung gab es noch WiseKey, secorio und Comodo (siehe: E-Mails mit S/MIME verschlüsseln). Secorio bietet nun nur noch kostenpflichtige Zertifikate, WiseKey hat kein vertrauenswürdiges Root-Zertifikat mehr und Comodo scheint es ebenso nicht mehr zu geben.
Die letzte bekannte Stelle ist nun Actalis. Allerdings mit einem erheblichen Nachteil, auf den auch Frank Zöchling zu recht hinweist. Die Keys werden nicht lokal beim Benutzer generiert sondern auf den Servern von Actalis. Sofern diese Firma den privaten Schlüssel speichert – was sich von außen weder bestätigen noch falsifizieren lässt – können sie natürlich auch die verschlüsselten E-Mails entschlüsseln. Im Bereich der Verschlüsselung ist so etwas für mich ein absolutes Ausschlusskriterium. Auf diese Weise hat die Verschlüsselung nur noch eine Alibi-Funktion.
Damit bleiben nur die kostenpflichtigen Zertifizierungsstellen und welche Privatperson gibt dafür schon Geld aus. Das Netzwerk der Kommunikationspartner mit denen man verschlüsselt per E-Mail kommunizieren konnte erodiert somit weiter.
Damit bleibt eigentlich vorerst nur noch PGP/GPG (siehe: E-Mails mit OpenPGP verschlüsseln). Sofern man überhaupt noch E-Mail Verschlüsselung betreibt. Bei mir spielt das quasi keine Rolle mehr. Die Metadaten liegen bei allen Verschlüsselungsmodellen offen und die wirklich schützenswerten Inhalte – nämlich die Anhänge – kann man mit viel weniger Aufwand separat verschlüsseln.
![[Mer]Curius](https://curius.de/wp-content/uploads/2021/01/favicon_114.png)
![[Mer]Curius](https://curius.de/wp-content/uploads/2021/01/favicon_76.png)
![[Mer]Curius](https://curius.de/wp-content/uploads/2021/01/logo.png){kind=logo}
Das DGN (Deutsches Gesundheitsnetz) bietet gratis S/MIME-E-Mail-Zertifikate für jedermann (also nicht bloss Ärzte). Einfach nach dgn e mail zertifikat googeln.
Hallo Olaf, bist du sicher, dass die ein trusted Root Zertifikat haben? In Windows 10/Thunderbird habe ich gerade nichts gefunden. Es liest sich auch so, dass der private key auf deren Server erstellt wird. Warum sollten sie Dir sonst dein Passwort per SMS schicken können? Wenn du erst bei jedem Kommunikationspartner ein Root CA installieren musst, dann ist das in der Praxis ein ziemlich großer Blocker.