Comodo Free S/MIME certificates (es war schön mit euch…)

Schon seit ein paar Jahren nutze ich S/MIME mit kostenlosen Zertifikaten von Comodo, um meine Mails digital zu unterschreiben. Diese Zertifikate müssen zwar jedes Jahr neu erzeugt und eingebunden werden, kosten aber eben genau nichts – da rentiert sich der Aufwand schnell.

Wie denn zufällig gerade kürzlich ein Zertifikat abgelaufen war, wollte ich es wieder neu beantragen (auf https://www.comodo.com/home/email-security/free-email-certificate.php wie immer) – doch siehe da: Comodo heißt inzwischen Sectigo und bietet keine kostenlosen Mail-Zertifikate mehr an :-o

LetsEncrypt bietet keine S/MIME Zertifikate an, sondern nur SSL für Webseiten (u.a. diese hier), und auch sonst scheint es nur sehr wenige Anbieter zu geben, bei denen man für den Privatgebrauch ein kostenloses Zertifikat bekommen kann, dem auch allgemein vertraut wird. Selbst signiert stand bei mir nie zur Diskussion….

Tatsächlich habe ich die Lösung dann über Wikipedia gefunden: die schweizerische Secorio AG (nach eigenen Angaben ein strategischer Partner von Sectigo, ehemals Comodo) bietet jetzt die kostenlosen Comodo Zertifikate an. Der entsprechende Link [https://secure.comodo.net/products/frontpage?ap=Secorio&area=SecureEmailCertificate&product=9&days.] ist gut versteckt in den FAQ [https://www.secorio.com/de/faqs/smime-zertifikate/78-how-much-does-an-email-certificate-for-private-use-cost], führt aber schließlich auf das (für mich) altbekannte Registrierungsformular von Comodo, nur mit dem Logo von Secorio :-D

Update 30. April 2019:

Wie unten in den Kommentaren bereits richtig angemerkt wurde, hat Sectigo jetzt endgültig den Sack zugemacht – die kostenlosen Zertifikate gelten nur noch 30 Tage, wer mehr Laufzeit will muss zahlen. Da hat wohl jemand beim Thema DSGVO seine Chance gewittert, nochmal so richtig Geld zu machen….

Zitat von der Webseite: „Email encryption is now a requirement to stay compliant with many regulations including: US Federal – DFARS, NIST & ITAR, GDPR, HIPAA“

Dann werde ich mich mal wieder auf die Suche machen, im Moment sieht mir WISeKey sehr vielversprechend aus (gefunden in den Kommentaren auf Frankys Web). Noch habe ich keine richtigen Aussagen dazu gefunden, ob bei denen der private Schlüssel lokal oder auf dem Server erzeugt wird – wer den privaten Schlüssel hat, kann signierte Nachrichten verändern ohne die Signatur zu kompromittieren…..

Und weil sie für meine Zwecke nutzlos geworden sind, deaktiviere ich die beiden Links unter denen die kostenlosen Jahreszertifikate noch erhältlich waren.

Gelegenheitsblogger, bekennender Unterstützer der deutschen Bark Alexander von Humboldt II (ab und an in der Bierwerbung einer norddeutschen Brauerei zu sehen) mit einem Faible für Ju-52 und Meer, reist, liest, arbeitet - alles in allem also ziemlich normal.

18 Replies to “Comodo Free S/MIME certificates (es war schön mit euch…)”

  1. Bei Secorio steht aber auch *1 Monat* Laufzeit. Das gibt es auch noch kostenlos direkt bei Sectigo, wenn ich mich nicht verlesen habe. Aber jeden Monat ein neues Zertifikat ist dann doch zu arg für meinen Geschmack. Echt schade diese Entwicklung…

  2. Leider Schade ! Aber jeder will verdienen und niemand hat etwas zu verschenken, Fleisch bekommt man beim Fleischer auch nicht umsonst/kostenlos . Dies nur mal so am Rande.
    Viele Grüße
    hubert

    • Wobei ich so ein einfaches Zertifikat für den privaten Gebrauch eher als Teaser sehe, ähnlich wie die Scheibe Fleischwurst, die die Kindern beim Fleischer gerne bekommen.
      Wer weiß, wenn ich erstmal mit dem kostenlosen Mailzertifikat zufrieden bin kaufe ich vielleicht ja auch mal ein „richtiges“ oder sogar eins für meine Webseite. Aber das muss halt jeder Anbieter selbst entscheiden, wie er sich im Wettbewerb positioniert…

    • PS: Ich habe es bei WISeKey doch noch gefunden, wo man dort Zertifikate anfordert… irgendwie haben die anscheinend zwei unterschiedliche Memberbereiche.

    • OK, ein Zertifikat bekommt man tatsächlich sehr schnell und problemlos von Actalis.
      ABER: Man muss denen schon sehr vertrauen.
      Eigenlich ist es ein Killerkriterium, wenn der Anbieter des Zertifikats das Kennwort vorgibt, mit dem das Zertifikat verschlüsselt ist. https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_confusednew.gif
      Damit ist der Schlüssel doch schon per Definition kompromittiert (weil er eben nicht mehr nur mir bekannt ist). Großartigen Text auf eine Anzeigeseite schreiben („dieser Schlüssel wird nur hier und jetzt angezeigt und nirgends gespeichert, er ist nicht wiederherstellbar“) kann jeder, daran wirklich glauben nicht.

  3. Bei Actalis ist es glasklar so, dass die das Schlüsselpaar generieren. Wie könnten sonst beide Schlüssel (privater/geheimer Schlüssel sowie Zertifikat) im ZIP-File/PKCS-12 drin sein?!

    Das Passwort ist nur für die Transportverschlüsselung, damit niemand, der die Mail abfängt, den geheimen Schlüssel extrahieren kann.

    Dieser Anbieter scheidet also leider aus. :-(

  4. Habt ihr euch schon mal die Volksverschlüsselung vom Frauenhofer SIT angeschaut? Was haltet Ihr davon? Die Private Schlüssel werden auf dem Heimischen PC erzeugt und sind für zwei Jahre gültig.

  5. Das DGN bietet auch kostenfreie Zertifikate mit 1 Jahr Laufzeit:
    https://www.dgn.de/dgncert/so_funktionierts.html
    Infos zur CA (scheinbar in den meisten Systemen vorinstalliert): https://www.dgn.de/dgncert/hilfe_support.form#faq11

    Ich habe den Beantragungsprozess noch nicht durchlaufen, aber es liest sich so als ob die Private Keys ebenso wie bei Actalis CA-seitig generiert werden. Ich vermute das ist primär der Usability und dem ansonsten anfallenden Supportaufwand geschuldet.

    Die Schlüsselgenerierung im Webbrowser unterstützen wohl mittlerweile nur noch wenige Webbrowser: https://knowledge.digicert.com/generalinformation/keygenfirefox.html (die Angaben auf dieser Seite sind ziemlich widersprüchlich, aber scheinbar wurde die browserbasierte Schlüsselgenerierung in Firefox 69 eingestellt – die anderen ‚modernen‘ Browser hatten es eh schon eingemottet).

    Ob es dann eine sinnvolle Lösung ist nur noch CA-erzeugte Schlüssel zu verwenden ist sicherlich fraglich. Die bessere Lösung wäre wohl eine systemarchitekturübergreifend kompilierbare Open Source-Software die aus vertrauenswürdiger Quelle kommt, die Erzeugung des Schlüssels und CSRs, die Übermittlung des CSRs an die CA, die Entgegennahme des Zertifikats von dort und die Installation von Schlüssel und Zertifikat in der vom Anwender gewünschten Location (OS-weit oder anwendungsspezifisch) veranlasst, und darüber hinaus Revocation und Rollover ermöglicht. Die könnte dann auch CA-übergreifend eingesetzt und parametrisiert in Unternehmen deployed werden.

    Wenn denn nicht immer jeder sein eigenes Süppchen kochen müsste…

    • CA scheinbar in den meisten Systemen vorinstalliert

      Bist du dir da ganz sicher? Bei mir bspw findet sich keine Spur von dieser CA…

      Evtl hat Franky in seinem Artikel doch recht, wenn er sagt

      Ich hatte nicht bemerkt, dass sich die CA DGNCert erst beim Erstellen des S/MIME Zertifikats als “Vertrauenswürdige Stammzertifizierungsstelle” einträgt und nicht wie angenommen bereits vorhanden ist.

Schreibe einen Kommentar zu Mike Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_smilenew.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_biggrin2.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_sadnew.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_eek.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_shocked.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_confusednew.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_coolnew.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_lol.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_madnew.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_seb_zunge.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_blushnew.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_frown.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_twistedevil1.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_twistedevil2.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_rolleyesnew.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_wink2.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_idea2.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_neutral_new.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_biggrin.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_xd.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_xd2.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_ugly.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_freu.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_freu2.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_motz.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_lachtot.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_irre.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_helpnew.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_wallbash.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_gott.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_hurra3.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_skeptisch.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_bravo2.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_pfeif2.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_nicken.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_no_sad.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_aufsmaul.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_doh.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_smilina.gif 
https://the.mnbvcx.net/wp-content/plugins/wp-monalisa/icons/smiley_emoticons_winken4.gif