Beim Senden oder Empfangen von digital signierten und/oder verschlüsselten S/MIME-E-Mails wird diesen E-Mails nur dann vertraut, wenn ihre CA-Trust-Chains vertrauenswürdig sind.
Diese CA-Vertrauensketten müssen auf der Mail-Client-Seite vorhanden sein, wenn Sie Windows, Mac oder Linux verwenden. Wenn Sie MacMail oder Outlook für Windows oder Mac verwenden, bedeutet dies, dass die CA-Vertrauenskette vertrauenswürdig ist und im lokalen Zertifikatspeicher oder Schlüsselbund vorhanden ist. Bei der Verwendung von Thunderbird muss die CA-Vertrauenskette im Mail-Client selbst vorhanden sein (da dieser seinen eigenen proprietären Zertifikatsspeicher verwendet).
Öffentlich vertrauenswürdige Zertifikatsdienstanbieter wie DigiCert, QuoVadis, GlobalSign und Sectigo sind praktisch immer bereits als vertrauenswürdig auf Ihrem Gerät vorhanden.
Wenn Sie S/MIME-Zertifikate von einer privaten Unternehmenszertifizierungsstelle ausstellen, hat Ihr Administrator dafür gesorgt, dass die Vertrauenskette vertrauenswürdig ist, doch Parteien außerhalb Ihres Unternehmens werden diesen privat ausgestellten S/MIME-Zertifikaten zu Recht nicht vertrauen.
Es gibt 1 bemerkenswerte Ausnahme: Sowohl die öffentlichen als auch die privaten CA-Vertrauensketten müssen auf der Mailserver-Seite vorhanden sein, wenn Sie Outlook für Mobilgeräte oder Outlook für das Web (OWA) oder Exchange Online (O365) verwenden. Bei einem Exchange-Server vor Ort ist diese Vertrauensstellung vorhanden, bei Office 365 jedoch nicht!!
Outlook für Mobilgeräte bezieht die Vertrauensstellung vom verwendeten Exchange-Server. Daher muss Ihr Administrator sicherstellen, dass die Vertrauensstellung vorhanden ist, insbesondere bei Office 365.
Um sicherzustellen, dass Office 365 die richtigen CA-Trusts enthält, folgen Sie diesem Leitfaden.
Wünschen Sie eine Demo, einen Proof of Concept oder eine direkte technische Beratung durch einen unserer S/MIME-Experten? Sprechen Sie uns an, wir denken gerne mit Ihnen mit!
