S/MIME – Eine Verschlüsselungsoption weniger

Grundsätzlich war und bin ich ein großer Freund von S/MIME. Nicht weil ich etwas gegen PGP/GPG habe aber S/MIME wird in allen E-Mail Clients standardmäßig unterstützt und PGP/GPG musste man bisher bei allen verbreiteten Clients (Outlook, Thunderbird, Apple Mail) nachrüsten.

Leider hat Let’s Encrypt bisher keine S/MIME Zertifikate im Angebot und die Möglichkeiten für kostenlose Zertifikate bei anderen Anbietern werden immer weniger. Bei meiner letzten Überarbeitung gab es noch WiseKey, secorio und Comodo (siehe: E-Mails mit S/MIME verschlüsseln). Secorio bietet nun nur noch kostenpflichtige Zertifikate, WiseKey hat kein vertrauenswürdiges Root-Zertifikat mehr und Comodo scheint es ebenso nicht mehr zu geben.

Die letzte bekannte Stelle ist nun Actalis. Allerdings mit einem erheblichen Nachteil, auf den auch Frank Zöchling zu recht hinweist. Die Keys werden nicht lokal beim Benutzer generiert sondern auf den Servern von Actalis. Sofern diese Firma den privaten Schlüssel speichert – was sich von außen weder bestätigen noch falsifizieren lässt  – können sie natürlich auch die verschlüsselten E-Mails entschlüsseln. Im Bereich der Verschlüsselung ist so etwas für mich ein absolutes Ausschlusskriterium. Auf diese Weise hat die Verschlüsselung nur noch eine Alibi-Funktion.

Damit bleiben nur die kostenpflichtigen Zertifizierungsstellen und welche Privatperson gibt dafür schon Geld aus. Das Netzwerk der Kommunikationspartner mit denen man verschlüsselt per E-Mail kommunizieren konnte erodiert somit weiter.

Damit bleibt eigentlich vorerst nur noch PGP/GPG (siehe: E-Mails mit OpenPGP verschlüsseln). Sofern man überhaupt noch E-Mail Verschlüsselung betreibt. Bei mir spielt das quasi keine Rolle mehr. Die Metadaten liegen bei allen Verschlüsselungsmodellen offen und die wirklich schützenswerten Inhalte – nämlich die Anhänge – kann man mit viel weniger Aufwand separat verschlüsseln.

2 Kommentare

  1. Das DGN (Deutsches Gesundheitsnetz) bietet gratis S/MIME-E-Mail-Zertifikate für jedermann (also nicht bloss Ärzte). Einfach nach dgn e mail zertifikat googeln.

    • Hallo Olaf, bist du sicher, dass die ein trusted Root Zertifikat haben? In Windows 10/Thunderbird habe ich gerade nichts gefunden. Es liest sich auch so, dass der private key auf deren Server erstellt wird. Warum sollten sie Dir sonst dein Passwort per SMS schicken können? Wenn du erst bei jedem Kommunikationspartner ein Root CA installieren musst, dann ist das in der Praxis ein ziemlich großer Blocker.

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Mehr aus dem Blog

openSUSE MicroOS mit KDE Plasma

Die nächste SUSE-Generation wirft ihre Schatten voraus und gleichzeitig experimentiere ich im Nutzungsalltag mit modernen unveränderbaren Linux-Distributionen. Zeit also, sich genauer mit MicroOS zu...

openSUSE Leap 16 am Horizont

Nachdem Red Hat mit Fedora Silverblue schon länger im Bereich der unveränderbaren Linux-Systeme experimentiert, hat sich SUSE vergangenes Jahr entschieden, die Enterprise-Distribution SUSE Linux...

Fedora Silverblue – Toolbox für grafische Anwendungen

Unveränderbare Linux-Systeme wie Fedora Silverblue nutzen als Standard Flatpak für Anwendungsinstallationen. Doch noch liegen nicht alle Anwendungen als Flatpak vor. Diese können dann entweder...

Fedora Silverblue im Praxistest

Ich liebe LTS-Distributionen, aber diese bewahren einen leider nicht vor defekten SSDs im Notebook. Da ich keine Vollsicherung der Systeme mache, sondern nur Datenbackups...