Mehrere gleichnamige Zertifikate unter Thunderbird nutzen
Zertifikatübersicht
Heute bin ich mit einem Problem gestoßen. Ich habe mir für meine zwei Haupt-Email-Adressen Zertifikate bei trustcenter.de bestellt. Naturgemäß lauten beide auf meinen Namen. Theoretisch sollte es damit auch keine Probleme geben, da beide ja auf unterschiedliche Email-Adressen ausgestellt sind.
Auf dem Mac unter Mail gab es auch keine Probleme. Beide Zertifikate wurden problemlos importiert und konnten zum Signieren und Verschlüsseln benutzt werden.
Problem
Zertifikatzuordnung
Auf dem EeePC bin ich vor Kurzem von Windows Live-Mail auf Thunderbird 3.0 umgestiegen. Der Import verlief auch ohne Probleme und es wurden beide Zertifikate in der Übersicht angezeigt. Das Problem taucht auf, wenn man versucht die Zertifikate den einzelnen Email-Adressen zuzuweisen. In der Drop-Down-Liste erscheint nur ein einziges Zertifikat statt der beiden importierten.
Einzeln importiert funktionieren diese problemlos. Zusammen importiert, wird nur ein Zertifikat angezeigt.
Nach langer Recherche konnte die Ursache in der Bildung der Drop-Down-Liste von Thunderbird festgestellt werden. Zur Bildung der Liste werden bei Thunderbird nur Vor- und Nachnahme benutzt (CN), aber nicht die erweiterten Felder des Zertifikates. Viele andere Zertifikathersteller schreiben in die CN noch weitere Daten, sodass das beschriebene Problem meines Wissens nur bei trustcenter.de auftritt. Die Auszeichnung, wie trustcenter.de dies tut, entsprich der Empfehlung des Zertifikatstandards.
Lösung
Allgeminer Name
Um das Problem bei Thunderbird und trustcenter.de zu umschiffen, habe ich eins von meinen Zertifikaten gesperrt und ein neues beantragt. Dieses Mal aber in dem Feld Vorname nicht nur meinen Vornamen eingegeben, sondern “Herr …”.
Nach dem neuen Import hat Thunderbird nun beide Zertifikate richtig aufgelistet und ich konnte diese den jeweiligen Email-Adressen zuordnen.
Alternativer Name
Perfekt, hatte ebenfalls das Problem. Habe es dank der Anleitung umgehen können. Danke :-)
Danke für die ausführliche Dokumentation,
aber das ist natürlich keine Lösung sondern allenfalls eine temporäre Zwischenlösung!
Ich habe dasselbe Problem, allerdings mit acht Email-Adressen.
Einmal ‘Herr’ geht ja noch, aber was ist mit den anderen sieben?
Und was ist im nächsten Jahr?, nach Ablauf der Zertifikate?
Wenn TC sich entsprechend der Empfehlung des Zertifikatstandards verhält, sollte TB doch auch dieses Verhalten unterstützen.
Zumal, im letzten Jahr mit TB 2 hatte ich das Problem noch nicht !
Das mit dem nächsten Jahr werde ich wohl oder übel in 3 Monaten selber testen müssen. Dann wird der Fall auch bei mir eintreffen.
So weit ich bis jetzt das Problem erforschen konnte, ist dieses Thunderbird bereits seit graumer Zeit bekannt. Anscheinend ist aber die Priorität von dem Problem so niedrig, dass es bis jetzt nicht gefixt wurde. Vielleicht müssen sich mehr Leute mit dem Problem direkt bei Thunderbird Dev-Team melden, damit es höhere Prio erhält (habe bereits nach dem Schreiben von diesem Artikel gemacht).
Habe genau das gleiche Problem mit SeaMonkey. Ich habe den Eindruck, dass es nicht auf verschiedene Programmversionen zurückzuführen ist, sondern darauf, dass SeaMonkey mit “neuen” TC-Zertifikaten (basierend auf deren sog. Generation II Root Certificates) nicht richtig umgeht.
Meine “alten” TC-Zertifikate, die auf deren Generation I Root Certificates basieren, werden nämlich von SeaMonkey nachwievor richtig behandelt.
Ein Unterscheid zwischen den beiden Typen ist der Inhalt des Feldes “Subject”: In den alten Zertifikaten enthält das Feld die betreffende Email-Adresse (E), meinen Namen (CN) und die Länderangabe (C), in den neuen Zertifikaten dagegen nur noch Namen und Länderangabe. Man könnte vermuten, dass der Wegfall der Email-Adresse in diesem Feld das Problem bei SeaMonkey verursacht.