Fehler bei Einbindung S/MIME-Zertifikat der Volksverschlüsselung

Guten Abend liebes Userforum & mailbox.org-Team,

da ich schon seit längerem Geräte- und Softwareübergreifend S/MIME zum verschlüsseln meiner E-Mails verwende, wollte ich die entsprechenden Zertifikate nun auch im mailbox.org-Webclient einpflegen. In der Vergangenheit habe ich dafür Zertifikate von Actalis (free) verwendet. Da diese allerdings bereits nach 1 Jahr ablaufen (und diversen anderen persönlichen Gründen) bin ich vor kurzem auf die Zertifikate der Volksverschlüsselung umgestiegen (u. A. weil dieser Anbieter laut mailbox.org-KB-Artikel unterstützt wird).

Dies erwies sich bei der Umsetzung trotz folgen des entsprechenden KB-Artikels ('https://kb.mailbox.org/de/privat/verschluesselung-mit-mailbox-org-guard-pgp-und-s-mime/verschluesselung-mit-s-mime') als problematisch. Wie bereits in anderen Beiträgen im Forum zu entnehmen, stieß auch ich bei der Einpflege des Volksverschlüsselungs-Zertifkates (später als 'All-In-One'-Zertifikat benannt) auf den bekannten Fehler:

Beim Spielen mit der zugehörigen Software der Volksverschlüsselung stieß ich dabei auf folgende Beobachtungen:

• Lässt man sich mit der Software der Volksverschlüsselung die Zertifikate als .zip-Archiv ausgeben, erhält man für jeden Verwendungszweck ein einzelnes Zertifikat (Auth, Sign, Enc - wobei Auth für reine E-Mail-Verschlüsselung nicht benötigt wird)
• Lässt man sich mit der Software der Volksverschlüsselung das Zertifikat als .p12-Datei ausgeben, erhält man ein 'All-In-One'-Zertifikat (enthält alle obrig genannten Zertifikate)

Da die Fehlermeldung auf 'zu viele Daten' (Bild 1) hindeutet, vermutete ich, dass das mailbox.org-Backend evtl. mit dem Auth-teil des Zertifikates 'überfordert' ist bzw. mit diesem nichts anzufangen weiß. Mein nächster Versuch war es also, die einzelnen Zertifikate (Sign, Enc) aus dem .zip-Archiv manuell per Webgclient hochzuladen.

Dies zeugte allerdings auch nicht von Erfolg, da man in der Webgui von mailbox.org lediglich 1x aktives Zertifikat, statt1x für Signatur & 1x für Verschlüsselung, festlegen kann.

Zur weiteren Analyse des Problemes habe ich dann die reinen Zertifikatsdateien (.crt) sowohl aus dem All-In-One-Zertifikat (.p12) & einzelnen Zertifikaten (.p12) mit openssl extrahiert. Bei einem Vergleich fiel direkt auf, dass das sogenannte All-In-One-Zertifikat tatsächlich alle 3x einzelnen Zertifikate kombiniert in einer einzigen Datei enthält.

Folgenden Workaround habe ich nun beim testen mit openssl und den Volksverschlüsselungszertifikaten herausgefunden, welcher einem erlaubt, trotz den obigen benannten Problemen diese per Webclient in mailbox.org einzupflegen:

1. Exportieren des All-In-One-Zertifikats (.p12-Datei) in der Volksverschlüsselungs-Software
2. Per openssl extrahieren der reinen Zertifikats-Datei (.crt) aus der .p12-Datei
3. Mit Editor bearbeiten der .crt-Datei und entfernen des Zertifikates mit 'localKeyID: 01' (Anpassung der anderen Zertifikate mit localKeyID's: 02 -> 01, 03 -> 02)
   
4. Per openssl extrahieren der reinen Schlüsseldatei (.key - ohne DES-Verschlüsselung) aus der .p12-Datei
5. Mit Editor bearbeiten der .key-Datei und entfernen des Schlüssels mit 'localKeyID: 01' (Anpassung der anderen Schlüssel mit localKeyID's: 02 -> 01, 03 -> 02)
6. Per openssl generieren eines neuen .p12-Zertifikates mit Hilfe der .crt und .key-Datei

Somit erhält man nun ein 'neues' All-In-One-Zertifikat (.p12/.pfx), welches allerdings nur die für 'Sign' und 'Enc' benötigten Einzelzertifikate enthält. Läd man dieses jetzt per Webclient in mailbox.org lässt sich dieses zur Signierung und Verschlüsselung von E-Mails verwenden.

@mailbox.org-Team

• In einem anderen Beitrag ('https://userforum.mailbox.org/topic/6816-smime-erfahrungen-mit-anbietern') erwähnt Ihr einen ausstehenden Patch von open-Xchange. Wurde dieser bereits eingespielt und/oder behebt dieser die oben beschriebene Problematik mit Zertifikaten der Volksverschlüsselung?
• Mein oben beschriebener Workaround ist unheimlich aufwendig und birgt auch einige Sicherheitsrisiken (für nicht-technisch-versierte Nutzer). Wird es in absehbarer Zeit eine Lösung bzw. Automatismus geben, welcher es erlaubt, auf benutzerfreundliche Art Zertifikate der Volksverschlüsselung zu nutzen?

Abschluss: Ich empfehle niemanden, meinen oben beschriebenen Workaround mit seinem persönlichen Zertifikat durchzuführen. Der Workaround setzt ein gewisses Maß an technischem Know-how (Verwendung der Kommandozeile) vorraus und birgt selbst bei korrekter Durchführung einige Stolpersteine und Sicherheitsrisiken (lokale Abspeicherung von Zertifikaten & zugehörigen Schlüsseln im Klartext!). Wenn Ihr einfach nur ein S/MIME-Zertifikat zur Verschlüsselung verwenden wollt, weicht dafür temporär auf einen anderen Abieter aus/pflegt diese stattdessen nur auf Euren Endgeräten/lokale Software ein und/oder wartet auf eine Behebung des Problemes durch mailbox.org/open-Xchange.