Guten Abend zusammen,

mir spukt seit 2 Jahren immer noch der hervorragende Beitrag von Weia zum Thema PDF und Mails digital signieren/ verschlüsseln durch den Kopf. An dieser Stelle auch mein verspäteter Dank für diese tolle Aufarbeitung!

Hat sich eigentlich in den letzten zwei Jahren grundsätzlich etwas an dem Thema geändert? Gibt es neue Aspekte bzw. funktioniert etwas besser oder vielleicht auch nicht mehr?

Da ich beruflich eine qualifizierte Signatur inzwischen regelhaft nutze (allerdings nicht am Mac), wollte ich mich auch mal privat damit befassen und habe den "alten" Beitrag von Weia über die Suche wieder hervorgekramt.

Kann man eigentlich inzwischen eine vorhandene Karte für eine qualifizierte Signatur am Mac nutzen? Oder geht weiterhin "nur" die fortgeschrittene Signatur?
Herausgefunden habe ich immerhin schon, das D-Trust selbst keine Zertifikate der Advanced Personal ID mehr vertreibt, sondern das nur noch über "Vertriebspartner" geht. PSW ist dabei am günstigsten. Ob Weias Workflow noch funktioniert würde ich dann bei Gelegenheit mal testen.
Was passiert eigentlich, wenn das Zertifikat nach 2 Jahren ausläuft? Habt ihr da schon Erfahrungswerte?

Es dankt, BeeOne

Nichts unerwartbares. Das Versenden von signierten Mails oder das Signieren von PDFs funktioniert nicht mehr mit dem alten Zertifikat. Da das alte Zertifikat im Schlüsselbund gespeichert ist, bleiben die Mails lesbar.
Um den Service weiter zu nutzen, musst Du ein neues Zertifikat erwerben. PSW erinnert rechtzeitig, dass das Zertifikat ablaufen wird.
Hier die Anleitung von Weia

Eine wichtige Änderung gibt es bei der fortgeschrittenen Signatur: Sie ist seit September aufgrund einer entsprechenden Änderung des rechtlichen Rahmens nur noch zu bekommen, wenn man sich mit der Online-Ausweisfunktion des Personalausweises ausweist (siehe Wichtiger Hinweis für die Ausstellung von identitätsvalidierten ...). Das dürfte das rechtliche Gewicht fortgeschrittener Signaturen erhöhen.

Mein Vermutung/Hoffnung wäre, dass die fortgeschrittene Signatur bis auf besonders gewichtige Fälle in Zukunft ein rechtlich anerkannter Standard wird und das eine ähnliche Entwicklung lostritt wie seinerzeit bei PDF-Rechnungen, die damals kaum genutzt wurden, durch den Verzicht des Gesetzgebers auf das Erfordernis einer qualifizierten Signatur sich aber plötzlich rapide ausbreiteten.
Ich musste mir selbst neulich ein neues Zertifikat holen und habe in diesem Zusammenhang gesehen, dass das jetzt wohl geht (es gibt entsprechende Lesegeräte und Treiber). Ich habe mich aber nicht näher damti befasst, weil ich das fortgeschrittene Zertifikat nach wie vor für den besten Kompromiss halte aus folgenden Gründen:

• Fortgeschrittene Zertifikate können für das Signieren von Dokumenten und das Signieren und Verschlüsseln von Emails genutzt werden, qualifizierte Zertifikate nur für das Signieren von Dokumenten
• Fortgeschrittene Zertifikate kosten nur etwa die Hälfte
• Fortgeschrittene Zertifikate sind weniger aufwändig in der Installation
• Fortgeschrittene Zertifikate dürften an Bedeutung zunehmen, da sie jetzt zwingend an den Personalausweis gekoppelt sind
• Ich persönlich hatte in den letzten beiden Jahren sehr viel mit Behörden, Banken etc. zu tun und überall wurde die fortgeschrittene Signatur bei wichtigen Dokumenten anerkannt

Ist unverändert bis auf den einen Punkt, dass Du, statt eine Kopie Deines Personalausweises an PSW zu senden, an der entsprechenden Stelle des Antrags jetzt Deine Identität mit der AusweisApp2 und Deinem Personalausweis bestätigen musst.

Die digitalen Signaturen in Richtung "Dokusign" sind dramatisch im Preis gefallen. Also Unterschrift unter einem Vertrag oder so....

Hinweis: Die AusweisApp2 heißt jetzt "AusweisApp", kann weniger als vorher.

Danke für die Rückmeldung.

@Weia: Ich denke ja auch, dass die fortgeschrittene Signatur am praktikabelsten ist. Hätte mich nur interessiert, ob jemand Erfahrung mit qualifizierten Signaturen am Mac hat. Mir selbst fehlt da das nötige Know-How. Von daher werde ich mich mal bei PSW anmelden. Das die Bestellung jetzt auch elektronisch mit dem Personalausweis geht, kommt mir sehr entgegen

Danke für den Hinweis. Da ich immer noch keine Zeit hatte, von Mojave auf Monterey zu aktualisieren, läuft bei mir noch die alte Version und ich habe das nicht mitbekommen.

Sonoma ist um Welten besser als Monterey.

Und wer in der Schweiz wohnt und sich fragt, wie der Prozess hier ist: Vergesst es. Die Schweiz ist in diesem Bereich ein Fünftweltland. Die eID (damaliger Ansatz privat mit staatlicher Unterstützung) wurde in der ersten Referendumsabstimmung vom Stimmvolk abgelehnt, der zweite Anlauf (dieses Mal rein staatlich) ist in Vorbereitung. Aber es werden noch einige Monate (Jahre?) vergehen bis zur Inbetriebnahme. Und da kann auch noch ein Referendum reingrätschen....

...aber ja, man ist ja so schön souverän....

...und ich warte bis ich eine rechtlich anerkannte Signatur verwenden kann ausserhalb der Betriebsebene....

Und was nützt mir das, wenn es auf meinen Macs nicht läuft?

Abgesehen davon verwende ich aus Prinzip niemals die aktuelle Betriebssystem-Version, da die bei Apple stets ein work-in-progress ist, es käme also höchstens Ventura infrage und das hat diese schauderhafte GUI.

Aber dieses Lechzen nach dem jeweils Neuesten ist mir ohnehin sehr fremd. Um Welten besser halte ich im übrigen für maßlos übertrieben; was vor anderthalb Jahren noch Stand der Technik war, soll jetzt Schrott sein? Für so eine Hektik bin ich zu alt. Zudem müssten eventuelle Pluspunkte das Riesen-Minus der neuen GUI mehr als ausgleichen.

Das wirklich einzige, wo ich schwach werden könnte, wäre ein macOS, auf dem eine Version von Pages läuft, bei der die Silbentrennung benutzbar ist und das Querverweise in Druckvorlagen (also nicht als Link, sondern als Seitenreferenz) beherrscht und mit Fußnoten besser umgehen kann. Aber das werde ich wohl eh nicht mehr erleben.

Hallo zusammen,

es ist geschafft. Bei mir war der Ablauf bei PSW etwas anders, als in der Beschreibung von Weia beschrieben:
- nach Identifikation via Personalausweis und AusweisApp erhielt ich ein Zip mit 3 Dateien: myCert, Application, Root. myCert und Root sind selbsterklärend, Application ist das Zwischenzertifikat für die Vertrauenskette.
- Stolperfalle für mich: Textedit erstellt keine reinen Textdateien mehr, sondern RTF. Damit klappte bei mir die Konversion in ein PFX/P12-Zertifikat nicht, da der private Schlüssel auf einmal Steuerzeichen enthielt. Erst das manuelle Ändern des Suffixes auf .txt lies diese Steuerzeichen sichtbar werden und ich konnte sie löschen. Anschließend hat dann die Konversion funktioniert.

Mail signiert jetzt meine Mails. Also direkt mal an meinem Mac eine Mail an eine alternative Mailadresse von mir geschickt und auf dem iPhone nachgesehen: Klicke ich auf meinem iPhone auf mich als Absender (mit Signaturhäkchen) wird mir angezeigt, das die Mail mit einem vertrauenswürdigen Zertifikat signiert ist. Klicke ich dort auf "Zertifikat anzeigen", wird mir mein Zertifikat von D-Trust angezeigt (gültig bis 2025), allerdings steht darüber "Wird nicht vertraut" und ich habe die Möglichkeit das Zertifikat zu installieren. Ist das so richtig?

Nicht wirklich. Man kann seit über 20 Jahren einstellen, welche Betriebsart man für neue TextEdit-Fenster haben möchte. Umstellen geht mit "TextEdit > Einstellungen > Neues Dokument > Format: Reiner Text".

Danke, wieder was gelernt. Für mich war das aber tatsächlich _die_ Stolperfalle. Da TextEdit mich im Sichern-Dialog keinen "Reiner Text" auswählen lies, habe ich halt RTF genommen - mit oben beschriebenem Ergebnis. Der Zertifikat Konverter konvertierte dann nämlich mal gar nix. Lies man sich aber die Hash-Werte anzeigen, stimmte alles. Dauerte ein wenig, bis ich dahinter kam, aber ich konnte es ja am Ende lösen.

Hast du denn auch eine Idee, warum das iPhone dem Zertifikat nicht vertrauen mag auch wenn es als gültig angezeigt wird?
Danke

Bist Du denn, was Zertifikat-Kauf und -Installation betrifft, nach der Anleitung vom Januar 2022 vorgegangen oder nach der vereinfachten/aktualisierten vom August 2022 ? Leider ist es im Forums-Format schwierig, auf neuere einschläggie Beiträge hinzuweisen.
Ich werde ja immer für die Länge meiner Beiträge kritisiert, die in solchen Beiträgen daraus resultiert, dass ich versuche, an alle potentiellen Komplikationen zu denken und entsprechende Hinweise zu geben. Aber man kann einfach nicht an alles denken. Dass irgendjemandem die Umstellung von TextEdit zwischen TXT und RTF unbekannt sein könnte, darauf wäre ich nie gekommen. Dass es sich um reine Textdateien handeln muss, hatte ich ja geschrieben – ich dachte, das wäre dann hinreichend klar. Sorry.
Ist es. Du musst das Zertifikat beim ersten Empfang auf einem iOS/iPad-Gerät leider explitzit installieren. Mail auf macOS macht das hingegen automatisch für jede Email mit einem Zertifikat, das noch nicht in der Schlüsselbundverwaltung gespeichert ist; daher verwirrt das. Apple wollte da auf iOS/iPadOS wohl Ressourcen sparen (deshalb gibt es dort ja auch keine Schlüsselbundverwaltung); bei der heutigen Lesitungsfähigkeit der Geräte ist es aber höchste Zeit, dass sich das ändert.

Sollte dem Zertifikat dann immer noch nicht vertraut werden, fehlt noch das Zwischenzertifikat – dann ggf. bitte nochmal melden.

Danke für die Rückmeldung.
Ich bin den "alten" Weg gegangen, die neue Variante über die Zertifikatsverwaltung kannte ich noch nicht. Hätte mir vermutlich etwas Zeit gespart Aber sei's drum, es hat geklappt, und ich hab wieder was gelernt. Mails signieren geht. Acrobat ist eingerichtet und wartet auf den ersten Einsatz, der in Kürze ansteht.
Ja, das mit TextEdit hat mich auch überrascht. Zu meiner Entschuldigung: ich nutze das Programm so gut wie nie. Jetzt, da ich mir das Programm mal etwas näher angeschaut habe, habe ich auch die entsprechenden Umstellungsmöglichkeiten in den Einstellungen bzw. im "Format"-Menü gefunden. Ich war davon ausgegangen, dass da wie "früher" bei SimpleText über den Sichern-Dialog geht... Das mit dem Speichern als "Nur-Text" hattest Du ja in der Tat geschrieben. Ich hatte mir da nichts bei gedacht, da der Textblock für den privaten Schlüssel völlig normal aussah - dumm nur, dass man dann die Datei hochlädt und nicht nur den Textblock. Aber das sollte ja mit der Variante aus "Nachtrag 2" dann der Vergangenheit angehören.
Nach Installation des Zertifikats auf dem iPhone ist jetzt auch das Vertrauen in das Zertifikat gegeben. Ich durchschaue da einfach die Terminologie noch nicht. Das Zertifikat ist gültig, Vertrauen ist aber noch einmal ein anderes Paar Schuhe.
Nochmals vielen Dank für Deine unentwegte Mühe und Unterstützung

Gültig heißt einfach, dass das Zertifikat formal korrekt und nicht abgelaufen ist. Das gilt z.B. aber auch für ein selbstsigniertes Zertifikat. Vertrauenswürdig ist ein Zertifikat dann, wenn es über eine lückenlose Zertifikatskette von einem der bekannten und auf allen Betriebssystemen vorinstallierten („vertrauenswürdigen“) Root-Zertifikaten beglaubigt ist. Und für eine gültige digitale Signatur in PDFs muss dieses Root-Zertifikat dann auch noch in einer Trusted List (TL), Adobes AATL oder der EUTL der EU, gelistet sein.
Bitteschön.

An diesem Punkt verstehe ich dann nicht, warum iOS mein Zertifikat, mit dem ich die Mail signiert habe, nicht ohne Installation als vertrauenwürdig akzeptiert hat.
Bei der Erstellung des pfx-Zertifikats habe ich ja Zertifikat, Application (=Zwischenzertifikat) und Root angegeben. Das wird mir auch als Pfad bestätigt: Root CA Application myCert.
Lt. Apple ist das D-TRUST Root CA 3 2013 im Trust-Store von iOS17 enthalten
Also müsste doch der Vertrauenspfad auch ohne Installation des Zertifikats gegeben sein, oder?

Nein. Es müssen alle Zertifikate lokal installiert sein, um die Gültigkeit der Zertifikskettete überprüfen zu können. Ich kenne die Implementationsdetails und somit das Warum nicht, aber es ist definitiv so. Vermutlich aus Caching-Gründen.

Wenn Du eine signierte Email in macOS empfängst, wird das Zertifikat des Absenders sofort automatisch im Schlüsselbund Anmeldung gespeichert. Fehlt das erforderliche Zwischenzertifikat noch, wird es ebenfalls automatisch aus dem Internet geholt und auch im Schlüsselbund Anmeldung gespeichert. Das Root-Zertifikat muss ja von macOS aus bereits installiert sein im Schlüsselbund System-Roots.

Da das in macOS alles vollautomatisch geschieht, ist es aus Anwendersicht vollkommen transparent.

Aber in iOS geschieht das eben leider nicht automatisch, sondern nur dadurch, dass Du auf Installieren tippst. Wie gesagt, ich vermute, aus Gründen der Ressourcen-Ersparnis für diejenigen, denen Zertifikate schnuppe sind; wissen tue ich das nicht.

Noch eine Anmerkung: Das Root-Zertifikat muss man also nie selbst installieren und braucht es auch nicht in die .p12-Datei mit aufzunehmen. Sollte man schon von irgendjemandem eine signierte Email empfangen haben, dessen Zertifikat dasselbe Zwischenzertifikat benutzt, so ist das auf macOS seitdem ebenfalls bereits abgespeichert und muss auch nicht installiert werden. Anonsten muss man das Zwischenzertifikat aber in der Tat installieren, da beim Signieren und Versenden einer Email das Zwischenzertifikat vorausgesetzt und nicht automatisch aus dem Internet geholt wird.

Doppelt installierte Zertifikate schaden nicht, man kann aber eines davon problemlos löschen.