S/MIME-Zertifikate scheinen nicht vertrauenswürdig zu sein

10 Feb ‘25

Beim Senden oder Empfangen von digital signierten und/oder verschlüsselten E-Mails mit S/MIME werden diese E-Mails nur dann vertraut, wenn ihre CA trust-chains vertrauenswürdig sind.

Diese CA trust-chain-Vertrauensstellungen müssen auf der Seite des E-Mail-Clients vorhanden sein, wenn Windows, Mac oder Linux verwendet werden. Wenn MacMail oder Outlook for Windows oder Mac verwendet wird, bedeutet dies, dass die CA trust-chain im lokalen Zertifikatspeicher oder key-chain vertrauenswürdig ist und vorhanden ist. Bei der Verwendung von Thunderbird muss die CA trust-chain direkt im E-Mail-Client selbst vorhanden sein (da es seinen eigenen proprietären Zertifikatspeicher verwendet).

Öffentlich vertrauenswürdige Certificate Service Providers wie DigiCert, QuoVadis, GlobalSign und Sectigo sind auf Ihrem Gerät nahezu immer bereits als vertrauenswürdig vorhanden.

Beim Ausstellen von S/MIME-Zertifikaten von einer privaten unternehmenseigenen CA hat Ihr Administrator sichergestellt, dass die Vertrauenskette vertrauenswürdig ist. Allerdings werden Parteien außerhalb Ihres Unternehmens diese privat ausgestellten S/MIME-Zertifikate zu Recht nicht vertrauen.

Es gibt eine bemerkenswerte Ausnahme: Sowohl öffentliche als auch private CA trust-chains müssen auf der Mailserver-Seite vorhanden sein, wenn Outlook for mobile, Outlook for the web (OWA) oder Exchange Online (O365) verwendet wird. Während ein On-Premises Exchange Server dieses Vertrauen besitzt, wird Office 365 dies nicht tun!!

Outlook for mobile erhält das Vertrauen vom verwendeten Exchange-Server, und daher muss Ihr Administrator sicherstellen, dass die trust-chain vorhanden ist, insbesondere bei Office 365.

Um sicherzustellen, dass Office 365 die richtigen CA trusts enthält, folgen Sie dieser Anleitung.