Schon seit ein paar Jahren nutze ich S/MIME mit kostenlosen Zertifikaten von Comodo, um meine Mails digital zu unterschreiben. Diese Zertifikate müssen zwar jedes Jahr neu erzeugt und eingebunden werden, kosten aber eben genau nichts – da rentiert sich der Aufwand schnell.
Wie denn zufällig gerade kürzlich ein Zertifikat abgelaufen war, wollte ich es wieder neu beantragen (auf https://www.comodo.com/home/email-security/free-email-certificate.php wie immer) – doch siehe da: Comodo heißt inzwischen Sectigo und bietet keine kostenlosen Mail-Zertifikate mehr an 
LetsEncrypt bietet keine S/MIME Zertifikate an, sondern nur SSL für Webseiten (u.a. diese hier), und auch sonst scheint es nur sehr wenige Anbieter zu geben, bei denen man für den Privatgebrauch ein kostenloses Zertifikat bekommen kann, dem auch allgemein vertraut wird. Selbst signiert stand bei mir nie zur Diskussion….
Tatsächlich habe ich die Lösung dann über Wikipedia gefunden: die schweizerische Secorio AG (nach eigenen Angaben ein strategischer Partner von Sectigo, ehemals Comodo) bietet jetzt die kostenlosen Comodo Zertifikate an. Der entsprechende Link [https://secure.comodo.net/products/frontpage?ap=Secorio&area=SecureEmailCertificate&product=9&days.] ist gut versteckt in den FAQ [https://www.secorio.com/de/faqs/smime-zertifikate/78-how-much-does-an-email-certificate-for-private-use-cost], führt aber schließlich auf das (für mich) altbekannte Registrierungsformular von Comodo, nur mit dem Logo von Secorio 
Update 30. April 2019:
Wie unten in den Kommentaren bereits richtig angemerkt wurde, hat Sectigo jetzt endgültig den Sack zugemacht – die kostenlosen Zertifikate gelten nur noch 30 Tage, wer mehr Laufzeit will muss zahlen. Da hat wohl jemand beim Thema DSGVO seine Chance gewittert, nochmal so richtig Geld zu machen….
Zitat von der Webseite: „Email encryption is now a requirement to stay compliant with many regulations including: US Federal – DFARS, NIST & ITAR, GDPR, HIPAA“
Dann werde ich mich mal wieder auf die Suche machen, im Moment sieht mir WISeKey sehr vielversprechend aus (gefunden in den Kommentaren auf Frankys Web). Noch habe ich keine richtigen Aussagen dazu gefunden, ob bei denen der private Schlüssel lokal oder auf dem Server erzeugt wird – wer den privaten Schlüssel hat, kann signierte Nachrichten verändern ohne die Signatur zu kompromittieren…..
Und weil sie für meine Zwecke nutzlos geworden sind, deaktiviere ich die beiden Links unter denen die kostenlosen Jahreszertifikate noch erhältlich waren.
Bei Secorio steht aber auch *1 Monat* Laufzeit. Das gibt es auch noch kostenlos direkt bei Sectigo, wenn ich mich nicht verlesen habe. Aber jeden Monat ein neues Zertifikat ist dann doch zu arg für meinen Geschmack. Echt schade diese Entwicklung…
Herzlichen Dank für die Recherche! Leider sind diese Zertifikate aber nur noch einen Monat gültig
Leider Schade ! Aber jeder will verdienen und niemand hat etwas zu verschenken, Fleisch bekommt man beim Fleischer auch nicht umsonst/kostenlos . Dies nur mal so am Rande.
Viele Grüße
hubert
Wobei ich so ein einfaches Zertifikat für den privaten Gebrauch eher als Teaser sehe, ähnlich wie die Scheibe Fleischwurst, die die Kindern beim Fleischer gerne bekommen.
Wer weiß, wenn ich erstmal mit dem kostenlosen Mailzertifikat zufrieden bin kaufe ich vielleicht ja auch mal ein „richtiges“ oder sogar eins für meine Webseite. Aber das muss halt jeder Anbieter selbst entscheiden, wie er sich im Wettbewerb positioniert…
WISeKey habe ich mir gerade angeschaut, da finde ich leider gar nix, wie man sich dort ein Zertifikat ausstellen können soll… im Memberbereich kann man genau gar nichts machen.
Ich habe aber noch einen Anbieter gefunden, der 1-jährige S/MIME-Zertifikate ausstellt: https://www.actalis.it/products/certificates-for-secure-electronic-mail.aspx
Die werde ich mir die Tage mal ansehen.
PS: Ich habe es bei WISeKey doch noch gefunden, wo man dort Zertifikate anfordert… irgendwie haben die anscheinend zwei unterschiedliche Memberbereiche.
WISekey ist ebenfalls ein Jahr, aber EBENFALLS generieren die den privaten Key für Dich — also auch Mist.
Actalis sieht gut aus, danke für den Tipp.
OK, ein Zertifikat bekommt man tatsächlich sehr schnell und problemlos von Actalis.
ABER: Man muss denen schon sehr vertrauen.
Eigenlich ist es ein Killerkriterium, wenn der Anbieter des Zertifikats das Kennwort vorgibt, mit dem das Zertifikat verschlüsselt ist.
Damit ist der Schlüssel doch schon per Definition kompromittiert (weil er eben nicht mehr nur mir bekannt ist). Großartigen Text auf eine Anzeigeseite schreiben („dieser Schlüssel wird nur hier und jetzt angezeigt und nirgends gespeichert, er ist nicht wiederherstellbar“) kann jeder, daran wirklich glauben nicht.
@Thomas, thank You.
free certificate from comodo still available :
https://secure.comodo.net/products/frontpage?ap=OmegaSphere&area=SecureEmailCertificate
(some branded page that offered free certificat seems still to exists…
)
please ignore, certificat expire one month later …
Bei Actalis ist es glasklar so, dass die das Schlüsselpaar generieren. Wie könnten sonst beide Schlüssel (privater/geheimer Schlüssel sowie Zertifikat) im ZIP-File/PKCS-12 drin sein?!
Das Passwort ist nur für die Transportverschlüsselung, damit niemand, der die Mail abfängt, den geheimen Schlüssel extrahieren kann.
Dieser Anbieter scheidet also leider aus.
Habt ihr euch schon mal die Volksverschlüsselung vom Frauenhofer SIT angeschaut? Was haltet Ihr davon? Die Private Schlüssel werden auf dem Heimischen PC erzeugt und sind für zwei Jahre gültig.
Ich ergänze mal den Link dazu: https://volksverschluesselung.sit.fraunhofer.de/
und
https://www.sit.fraunhofer.de/de/presse/details/news-article/show/fraunhofer-sit-tritt-mit-volksverschluesselung-dem-teletrust-pki-vertrauensverbund-european-bridge/
Da muss ich das Root-Zertifikat selbst importieren – also für S/MIME mit anderen Organisationen leider untauglich…
Das DGN bietet auch kostenfreie Zertifikate mit 1 Jahr Laufzeit:
https://www.dgn.de/dgncert/so_funktionierts.html
Infos zur CA (scheinbar in den meisten Systemen vorinstalliert): https://www.dgn.de/dgncert/hilfe_support.form#faq11
Ich habe den Beantragungsprozess noch nicht durchlaufen, aber es liest sich so als ob die Private Keys ebenso wie bei Actalis CA-seitig generiert werden. Ich vermute das ist primär der Usability und dem ansonsten anfallenden Supportaufwand geschuldet.
Die Schlüsselgenerierung im Webbrowser unterstützen wohl mittlerweile nur noch wenige Webbrowser: https://knowledge.digicert.com/generalinformation/keygenfirefox.html (die Angaben auf dieser Seite sind ziemlich widersprüchlich, aber scheinbar wurde die browserbasierte Schlüsselgenerierung in Firefox 69 eingestellt – die anderen ‚modernen‘ Browser hatten es eh schon eingemottet).
Ob es dann eine sinnvolle Lösung ist nur noch CA-erzeugte Schlüssel zu verwenden ist sicherlich fraglich. Die bessere Lösung wäre wohl eine systemarchitekturübergreifend kompilierbare Open Source-Software die aus vertrauenswürdiger Quelle kommt, die Erzeugung des Schlüssels und CSRs, die Übermittlung des CSRs an die CA, die Entgegennahme des Zertifikats von dort und die Installation von Schlüssel und Zertifikat in der vom Anwender gewünschten Location (OS-weit oder anwendungsspezifisch) veranlasst, und darüber hinaus Revocation und Rollover ermöglicht. Die könnte dann auch CA-übergreifend eingesetzt und parametrisiert in Unternehmen deployed werden.
Wenn denn nicht immer jeder sein eigenes Süppchen kochen müsste…
Bist du dir da ganz sicher? Bei mir bspw findet sich keine Spur von dieser CA…
Evtl hat Franky in seinem Artikel doch recht, wenn er sagt