Ich möchte mir eine Email Zertifikat zulegen, für das ich auch bereit bin einen kleinen Betrag zu zahlen. Deshalb wollte ich mal hören, was ihr nutzt und wie Eure Erfahrungen sind? Ist SwissSign empfehlenswert?

Ich hatte SwissSign (und die SuisseID). Beides gekündigt, weil kompliziert und nicht wirklich nützlich.

Wozu willst du Mails signieren? Die meisten Empfänger erkennen oder anerkennen die zusätzliche Sicherheit nicht. Oft entsteht nur Verwirrung.

Ich weiss, es ist paradox, aber viele (auch Behörden) halten ein Fax mit Unterschrift für sicher, ein signiertes Mail nicht. Mangels Fax kann man hoffen, dass ein unterschriebenes und als Scan gemailtes Dokument reicht. Wobei oft eine digitale Unterschrift nicht akzeptiert wird … man solle das Dokument ausdrucken, unterschreiben – und dann einscannen und mailen.

Und die SuisseID wird übrigens eingestellt und als neues Projekt SwissID lanciert. Wenn der Staat sich mit IT versucht, gibts enorme Kosten und wenig Nutzen.

SwissSign hatte ich auch mal probiert. Alles zu kompliziert.

Schau hier hast du einen Guten Service und die Qual der Wahl.

Self signed, kann man mit dem Schlüsselbund generieren.

Ich habe SwissSign und kann da nicht kompliziertes finden.
Außer andere sind einfacher und ich weiß nichts davon...

Wenn du damit anfängst, stell dich drauf ein, dass du Mails von Behörden bekommst, die Verschlüsselt sind und sich nicht entschlüsseln lassen, ich bin immer noch nicht dahinter gekommen warum.
Hatte heute eine Mail von der 3. Stelle, bei der das so ist und keine hat mit der anderen zu tun.

Ich bin mit SwissSign ebenfalls zufrieden.

"Zu kompliziert" ist relativ ... das Thema X.509 ist nicht trivial. Viel einfacher und benutzerfreundlicher, als SwissSign das abhandelt, ist es nicht zu machen. @@jensche, was ist an PSW besser? Ich habe den Laden nicht ausprobiert, sieht aber auf den ersten Blick OK aus.

Selbstsignierte Zertifikate sind im täglichen Gebrauch fast vollkommen nutzlos. Man bekommt zwar Verschlüsselung, aber da man das Gegenüber nicht identifizieren kann (es sei denn, man tauscht vorher Fingerprints aus - deswegen "fast"), ist man jeder man in the middle-Attacke ausgeliefert.

Und denkt daran, eure privaten Schlüssel selbst zu generieren und sie nicht vom Anbieter erzeugen zu lassen, sonst ist der Aufwand nämlich auch für die Katz. Das ist das größte Manko an den meisten "benutzerfreundlichen" Dienstleistern.

Ich habe übrigens auch keine Probleme mit unentschlüsselbar verschlüsselten Mails von Behörden und anderen ... keine Ahnung, wo das Problem bei elBohu liegt. Der Möglichkeiten sind leider viele - siehe oben: X.509 ist (unnötig) komplex.

PSW ist gut. Super service. Man hat einen Direkten Ansprechpartner... Kann im extremfall sogar kostenlos einen Zertifikattausch machen, wenn man ein Zertifikat neu gekauft hat und nicht zufrieden ist.

Es kommt sehr auf das Zerfitikat draufan... sprich den Validierungsprozess. Teilweise muss man per Post ID usw. einsenden.

Für geschäftliche Zwecke? Wenn nicht gibts das for free z.B. hier:

Ich nutze SwissSign, bin damit superzufrieden und kann überhaupt nicht nachvollziehen, was daran kompliziert sein soll.

Gekaufte Zertifikate runterladen, per Doppelklick in den Schlüsselbund laden und fertig. Wie soll das denn noch einfacher gehen?
Damit fürderhin Mails Emails verschlüsselt ausgetauscht werden können? Wenn https im Web immer mehr zum Standard wird, sollte Email-Verschlüsselung doch wahrlich auch endlich Standard werden.

Bevor sichere E-Mails Standard werden, werden andere Kommunikationsarten E-Mail abgelöst haben.

Ich halte übrigens nicht SwissSign an sich für besonders kompliziert, sondern das Verfahren der (E-Mail-)Zertifizierung generell.

Wenn sich alle so anstellen würden wie Du, velleicht.

Ich tausche mit der Mehrzahl der Leute, mit denen ich kommuniziere, längst nur noch verschlüsselte Emails aus. Die Zukunft, von der Du sagst, sie käme nie, ist bei mir schon Gegenwart.
Was auf macOS daran kompliziert sein soll, wissen die Götter. Zertifikat runterladen, Doppelklick, Passwort zur Installation im Schlüsselbund eingeben, das war’s.

In iOS hat Apple unverständlicherweise Stolperfallen eingebaut, das stimmt leider.

Bei mir heisst die Gegenwart iMessage, Messenger und Slack für bekannte, regelmässige Kontakte. E-Mail dient fast nur noch für die erst- und/oder einmalige Korrespondenz, die daher auch nicht besonders geheim ist oder sicher sein muss.

Jede Lösung, die ich nicht smooth auf meinem iPad so gut nutzen kann wie auf dem Mac, ist für mich bereits veraltet oder noch unreif.

Darüber würdest Du vertrauliche Unterlagen schicken, die Du ggf. auch nach 20 Jahren noch wiederfinden willst?

Oder detaillierte Diskussionen führen, die ohne Zitate des Gegenübers gar nicht funktionieren würden?

Ich habe alle meine Emails ab 1994 in Mail sortiert und griffbereit. Viel Spaß bei solch einem Versuch mit Nachrichten!
Da verwechselst Du was. Das iPad ist es, was noch unreif ist …

Aber gut, wenn Du kein intensiver Email-Nutzer bist, dann brauchst Du natürlich auch keine anspruchsvolleren Email-Features. Das sagt dann aber mehr über Dein persönliches Nutzerverhalten aus (das ja völlig OK ist – jeder soll nach seiner Façon selig werden …) als über Sinn oder Unsinn verschlüsselter Emails.

Für private Zwecke ist sicher ein Comodo-Zertifikat ausreichend:



Bedenke jedoch, dass diese immer nur 365 Tage lang gültig sind - du wirst also 1x im Jahr neue Zertifikate ausstellen müssen! Außerdem wichtig zu wissen: Die alten Zertifikate sollte man aufheben, denn nur so kann man die alten E-Mails auch weiterhin entschlüsseln.

Für geschäftliche Zwecke würde ich eher GlobalSign empfehlen - das Problem ist aber, dass man dort eine Mindest-Abnahmemenge hat (also z.B. X.509 SSL Zertifkate für 50 verschiedene E-Mail-Adressen der selben Domain):

Danke für Eure Antworten. Also das ganze soll geschäftlich genutzt werden, um Emails zu verschlüsseln. Es geht natürlich vor allem um Dokumente, der verschlüsselt versendet werden sollen. Ich denke nicht, dass hier ein selbst signiertes Zertifikat die Lösung ist.

PSW schaue ich mir an. Was ist den der Unterschied zwischen einer Nutzung für private und geschäftliche Email Adresse?

GlobalSign kommt nicht in Frage, da ich nur eine Email-Adresse haben

Ok, ich weiß nicht, ob ich es überlesen habe, aber was genau meint ihr mit kompliziert? Könnt ihr das näher erklären, was daran kompliziert ist? Das Erstellen des Zertifikates oder das Nutzen in Mail.app?

Das stimmt, aber wenn es nicht primär darum geht, dem Gegenüber glaubhaft zu machen, dass Du wirklich Du bist, reicht ein „einfaches“ Klasse-1-Zertifikat locker aus – das gewährleistet lediglich, dass die Email von Deiner Email-Adresse kommt, aber nicht, dass diese Adresse Dir als bestimmter Person gehört.

Meine Freundin hat eine kleine Firma, da haben alle SwissSign-Klasse-1-Zertifikate mit 5 Jahren Laufzeit für je ca. 70€ (für alle 5 Jahre). Das erfüllt wunderbar seinen Zweck. Ich persönlich schätze für die Außenwirkung die längere Laufzeit als wichtiger ein als eine höhere Klasse, denn das dokumentiert nach außen sofort Beständigkeit (und billiger aufs Jahr umgerechnet ist es natürlich auch), und es gibt nicht alle Jahre (sondern eben nur alle 5 Jahre) in der Übergangszeit potentiell Probleme (wenn das alte Zertifikat abgelaufen ist, Du aber noch keine Email mit dem neuen an einen bestimmten Empfänger gesandt hast – der kann Dir so lange dann keine verschlüsselte Email schicken).
Ich kannte die nicht, verstehe die Empfehlung aber auch nicht ganz, denn das ist ja offenbar nur ein Reseller – u.a. eben für SwissSign.

Ich habe mit SwissSign nur gute Erfahrungen gemacht, wichtig war mir aber vor allem, dass die Zertifikate außerhalb des angelsächsischen, überwachungs- und hintertürgeilen angelsächsischen Kulturraums erstellt werden.
Manche meinen halt, für eine geschäftliche Adresse bräuchte man zwingend eine höhere Zertifikatsklasse, die Dich als Person ausweist. Das kann wichtig sein, wenn Du Geschäfte machst, wo Dein Gegenüber nur über die Email Kontakt zu Dir und Deiner Firma hat und gar nicht weiß, ob hinter Deiner Email-Adress-Domain vielleicht eine Phantasiefirma steckt. Wenn das nicht der Fall ist und Du als Firma für Dein Gegenüber bereits glaubhaft bist, ist aus meiner Sicht wie gesagt eine längere Laufzeit wichtiger als eine höhere Klasse.
Nö, denn es ist ja nichts kompliziert daran.

Das Komplizierteste ist der Bestellvorgang – Deine Daten eingeben, ein persönliches Passwort ausdenken, Verifizierungsemail abwarten usw. Wenn das einmal geschehen ist, lädst Du am Schluss einfach eine Datei mit der Endung .p12 herunter, machst einen Doppelklick auf sie und gibst Dein beim Bestellvorgang erdachtes Passwort ein. Daraufhin wird das Zertifikat im Schlüsselbund installiert und steht automatisch Mail zur Verfügung (kann sein, dass Mail einmal neu gestartet werden muss, erinnere ich nicht mehr), sprich, das nächste Mal, wenn Du eine Email mit der Absenderadresse, für die Du das Zertifikat hast, absenden willst, erscheint in der Mail-GUI eine zusätzliche Taste, mit der Du auswählen kannst, ob Dein Zertifikat mit versandt werden soll (die Voraussetzung dafür, dass Dir dann jemand eine verschlüsselte Email schicken kann – ich lasse das standardmäßig immer an). Und wenn Du jemandem antwortest, der Dir schon eine Email mit seinem Zertifikat geschickt hast, kannst Du mit einer zweiten Taste auswählen, ob Du die Email verschlüsseln willst.

Geht echt schwerlich einfacher …

Danke!

Ein Reseller, Preise sind gleich: der grosse, riesige Vorteil bei PSW: Viel viel vie besserer Service als Swisssign. Auch Erreichbarkeit und Kulanz. Also kein Grund nicht den Reseller zu nehmen.

Zudem schlecht Bürozeiten bei Swiss Sign. Die Zertifikate sind schon gut. Aber der Service nicht. Darum PSW.
Je nach Zertifikat braucht eine Postalische Bestätigung. Sprich einsenden des Ausweis und des Unterschriebenen Vertrags.

jensche + Weia:

Finde leider immer nur maximal 3 Jahre Laufzeit bei den kommerziellen SMIME-Zertifikaten, wo genau habt ihr denn welche mit 5 Jahren Laufzeit gefunden? Wäre für mich nämlich auch interessant ...

Und von der "Mindestabnahmemenge" redet ihr hier auch nicht - habe ich da etwa nur 'die falschen Ansprechpartner' bei GlobalSign erwischt?

Dazu kann ich nix sagen – ich musste den nie in Anspruch nehmen.
OK, wenn Du ein Zertifikat willst, dass Deine Identität als Person bestätigt, liegt das in der Natur der Sache.

Willst Du nur Deine Email-Adresse zertifizieren, entfällt das natürlich (die Echtheit der Email wird dann wie üblich dadurch bestätigt, dass man an diese Adresse eine Email bekommt mit einem Verifizierungslink, auf den man klicken muss).

Oooops – ich hatte noch letztes Jahr welche bei Swisssign mit 5 Jahren Laufzeit gekauft, und jetzt gibt es die in der Tat plötzlich nur noch mit 3 Jahren Laufzeit …

Es ist zwar nicht direct eine Antwort auf die Frage... aber ich finde die Idee von Protonmail schon ziemlich gut.
Es gibt dort auch ein kostenloses Konto.

Ist nicht ganz das gleiche. Die Reche von SuisseID liegen neu bei SwissSign. SuisseID wird von Post und QuoVadis betrieben, SwissID von Post und SBB. SuisseID soll weiter laufen, momentan ist nichts bekannt von einer Einstellung.

Und beide haben mit dem Staat nichts zu tun (ausser dass der Staat Eigentümer der Post AG und der SBB ist). Das seco hatte bloss mal die Schirmherrschaft.

Kann ich nur empfehlen, habe ich seit dem ersten Tag und bin zufrieden.

Danke für Eure Antworten, besonders an Weia. Ich tendiere zu SwissSign, muss mir das ganze aber noch genau anschauen.

Darum PSW. die sind sehr nett, super Service und die haben auch Swiss Sign.

Und warum nicht selbst zertifizieren? Verstehe ich nicht... Dann ist der Inhalt doch auch verschlüsselt? Zudem generiere ich den Private-Key dann nicht irgendwo online, sondern lokal? Ist das dann nicht ein Mehr an Sicherheit?

Weil die Email-Empfänger dann für die Zertifikatsinstanz (wie eben z.B. SwissSign) kein Root-Zertifikat auf ihrem Rechner haben und daher Mail beim Email-Empfang warnt, das Zertifikat sei ungültig.

Du kannst, wenn Du der Email blind vertraust, zwar sagen, dass diesem Zertifikat zukünftig immer vertraut werden soll, aber wenn diese erste Mail ein Fake war, dann hast Du ein Problem. Ein Klasse-1-Zertifikat garantiert immerhin, dass die Email tatsächlich von der Email-Adresse abgesandt wurde, von der die Mail behauptet, abgesandt worden zu sein.

Sprich, bei einem Klasse-1-Zertifikat weiß ich als Empfänger zwar nicht, ob es wirklich Tim Cook ist, der mir da von tim@apple.com schreibt, aber ich weiß, dass die Email vom Inhaber der Absenderadresse tim@apple.com geschrieben wurde. In der Regel sind das 99,9% der Vertrauens-Miete.

Aufkommende Warnungen über ungültige Zertifikate sind nichts, was Du im seriösen Geschäftsverkehr brauchen kannst. Ich würde das nicht mal meinen privaten Kontakten zumuten wollen.

Danke für die verständliche Erklärung. Also wäre mein Vorschlag nur eine Lösung für die Kommunikation mit Bekannten.

So als Frage in die runde.
Was haltet Ihr den von CaCert?


danke

An der Vertraulichkeit gibts da nichts auszusetzen, die technischen Verfahren sind dieselben. Aber:

Die Absender- (bei S/Mime) bzw. Server- (bei TLS) Authentizität steht und fällt natürlich mit dem Validierungsaufwand, den die CA betreibt. Es gibt zb Angriffe, die URL-Spoofing mit ähnlich (oder gar gleich) aussehenden Unicode-Zeichen betreiben und gültige Zertifikate für Domains erhalten, deren Originale im Besitz anderer Firmen sind.

Aus diesem Grund entscheiden Softwarehersteller (teils berechtigt, teils leider willkürlich), welche Root-Zertifikate als vertrauenswürdig eingestuft werden. CACert ist idR nicht vorinstalliert, d.h. dessen Root-Zertifikat muss manuell zur Systemkeychain hinzugefügt werden. Ein technisch weniger erfahrener Nutzer hat dies eher nicht und sieht dann Warnungen (oder gar Fehlermeldungen), dass die Authentizität des Absenders nicht überprüft werden kann. Bei geschäftlicher E-Mail-Korrespondenz sieht das natürlich dann ziemlich übel aus.

Als Alternative möchte ich IncaMail in die Runde werfen:

Genau, gibt’s nicht mal für Mail auf macOS, muss (auf Windows) über (bekannt problemanfällige) Mail-Client-Plug-Ins installiert werden, die Daten zur Schweizer Post werden lediglich über TLS auf dem Übertragungsweg abgesichert, aber noch nicht selbst verschlüsselt übertragen (das geschieht erst bei der Schweizer Post …), und überhaupt, wozu offene weltweite Standards wie S/MIME, wenn wir auch proprietäre wie die von der Schweizer Post nutzen können? So gedeiht das Internet …

Aber das in Mail wunderbar vorbereitete, nur auf ein passendes persönliches Zertifikat wartende S/MIME ist laut Deiner Aussage ja kompliziert und nicht wirklich nützlich …

Weia
Ich nutze aktiv keine dieser Lösungen (mehr), weil kein Bedarf. Bei IncaMail bin ich nur kostenlos registriert, um eingeschriebene Mails erhalten zu können.

Wie gesagt, ich wollte IncaMail nur als Alternative in die Runde werfen, nicht als Empfehlung. Und deine Antwort weist auf einige tatsächlich vorhandene Nachteile von IncaMail hin. Dem möchte ich nicht widersprechen. Als Vorteil möchte ich allerdings erwähnen, dass die Nutzung auf iPad und iPhone mittels der App recht einfach ist. Wie gesagt: Nur ein Hinweis. Die Bedürfnisse sind unterschiedlich.