[10.14 Mojave] S/MIME Signatur kann nicht überprüft werden

[Ijon Tichy]

Wir verwenden S/MIME-Zertifikate die mit dem self-signed Zertifikate einer eigenen Root-CA signiert sind. Das hat bisher auch immer funktioniert.

Vor ein paar Tagen habe ich meinen Mac auf Mojave aktualisiert (vorher Sierra), und nun wird bei jeder mit einem solchen Zertifikat signierten Nachricht angezeigt:

Die Nachrichtensignatur konnte nicht überprüft werden

Beim Klick auf Details einblenden:

Mail konnte die Authentizität des S/MIME-Zertifikats von "[email protected]" nicht überprüfen. Nachrichten, die von diesem Benutzer signiert sind, stammen möglicherweise aus einer anderen Quelle.

Beim Klick auf Zertifikat einblenden heißt es aber Dieses Zertifikat ist gültig und beim Root-Zertifikat Dieses Zertifikat ist für diesen Account als vertrauenswürdig markiert. Sieht also eigentlich korrekt aus.

Wenn man ankreuzt "Name" immer vertrauen und die Änderung speichert, hat das keine Auswirkung.

Ich habe nun den Verdacht, dass in Mojave irgendeine erweitere Prüfung bzgl. der Zertifikate hinzugekommen ist, kann aber nichts dazu finden. Oder ist es Bug? Folgendes Verhalten ist definitiv buggy:

Wenn ich nach Zertifikat einblenden das Root-Zertifikat anzeige, wird nicht wie im Schlüsselbund eingestellt "Immer vertrauen" angezeigt, sondern Eigene Einstellung verwenden und darunter bei S/MIME und X.509-Standardrichtlinien steht zwar Immer vertrauen, aber es gibt noch den Eintrag 1.2.840.113635.100.1.21, den ich vorher noch nie gesehen habe und der auch nicht im Schlüsselbund angezeigt wird. Dort steht Kein Wert festgelegt. Sehr seltsam.

Wenn ich nun an dieser Stelle, dieses 1.2.840.113635.100.1.21 auf Immer vertrauen ändere und abspeichere, dann funktioniert das Zertifikat gar nicht mehr, da das Vertrauen dann wieder auf Systemeinstellungen zurückgesetzt wird. Zumindest dieses Verhalten ist eindeutig ein Bug! Ich muss dann wieder in den Schlüsselbund und dort das Vertrauen in das Zertifikat wiederherstellen. Dabei wird es aber auch nicht (wie früher) sofort als vertrauenswürdig dargestellt, sondern erst nach einem Beenden und Neustarten des Schlüsselbunds.

Habt ihr evtl. auch ähnliche Problem und/oder kann mir vielleicht jemand einen Tipp geben?

Nachtrag:

Unter 1.2.840.113635.100.1.21 finde ich bei Google einen OID-Record mit der Bezeichnung Apple Revocation Policy (http://oidref.com/1.2.840.113635.100.1.21), kann aber nicht wirklich etwas mit der Information anfangen. Wird evtl. neuerdings eine Revocation URL zwingend verlangt?

1.2.840.113635.100.1.21 21 0 0 Apple Revocation Policy

 

[kingshill_de]

Hi Ijon Tichy,

wenn ich mir in der Schlüsselbundverwaltung ein Root Zertifikat anzeigen lasse, sehe ich unter "VERTRAUEN" nur die üblichen Einstellungen. Letzter Eintrag ist wie gehabt X.509. Die von Dir genannte Zahlenkombination sehe ich nicht. Ich habe auch mal Intermediate und Leaf Zertifikate angeschaut. Den Zahlensalat sehe ich dort auch nicht.

Zur Info: Mein Root und Intermediate Zertifikate haben bei allen Einträgen "immer vertrauen".

Ich glaube nicht, dass Dir das weiterhilft....

Gruß
Kingshill_de

 

[Ijon Tichy]

@kingshill_de - Kannst du bitte noch einmal von der Mail App aus nachschauen?

Also eine Mail aufrufen von dem Absender, bei dem du die Meldung bekommst, dass die Signatur nicht überprüft werden konnte, dann dort auf Details einblenden klicken, das Root-Zertifikat auswählen und dort Vertrauen ausklappen.

Wenn ich das Zertifikat nämlich in der Schlüsselbund-App anschaue, taucht der Zahlensalat dort auch nirgends auf.

 

[kingshill_de]

Jetzt habe ich es verstanden....

Also ich kann das von Dir beschriebene Verhalten teilweise nachvollziehen. Ich habe allerdings zwei Verhaltensweisen gefunden.
Für alle signierten Emails der betroffenen Organisation wird im Header der Email angezeigt: "Die Nachrichtensignatur konnte nicht überprüft werden".

Wenn ich bei den betroffenen Emails jetzt "Details einblenden" wähle, wird bei einem Teil der signierten Emails nur ein Infofeld mit folgendem Fehler gebracht:

"Die digitale Signatur dieser Nachricht ist nicht korrekt. Diese Nachricht wurde möglicherweise verändert oder beschädigt, nachdem sie von „[email protected]“ signiert wurde."​

Das Zertifikat kann ich mir nicht ansehen.

Beim anderen Teil kommt die Meldung, dass die Authentizität des Zertifikats nicht geprüft werden konnte. Hier zeigt mir dann jedes Zertifikat der Kette (Root, Intermediate, User) folgende Ansicht:

​

Hilft Dir das weiter?

Gruß
kingshill_de

 

[Ijon Tichy]

Danke. Hilft nicht wirklich, aber danke fürs Probieren.

 

[Ijon Tichy]

Falls es noch jemanden interessiert:
Nach langem Herumprobieren bin ich zu dem Schluss gekommen, dass Apple Mail hier ein Problem hat und habe einen Bugreport bei Apple eingestellt.

 

[Ijon Tichy]

Noch ein Update:

Es kann doch kein grundsätzliches Problem von Mail und/oder Mojave sein, denn ich habe es nun auf einem Mac Mini getestet, der auch von Sierra auf Mojave upgegradet wurde, und das funktioniert es absolut problemlos!

Im Moment vermute ich mehr ein Problem mit dem Schlüsselbund oder der Kommunikation zwischen Mail und dem Schlüsselbund.

 

[Ijon Tichy]

Ächz!

Also, es ist wohl doch ein Problem der Mail App in Mojave. Auf dem vorgenannten Mac Mini habe ich letztlich doch dasselbe Problem gehabt, wenn ich mich mit einem anderen User angemeldet habe. Und so kam ich auch auf die Lösung, denn bei dem User, bei dem es ging, hatte ich kürzlich die Mail-Datenbank (aus anderen Gründen) neu aufgebaut. Naja, das klingt jetzt so, als hätte ich das Problem sofort verstanden und die Lösung in nullkommanix gehabt, aber natürlich war das nicht so. Sondern ich habe ewig lang mit den Zertifikaten und dem Schlüsselbund herumexperimentiert. Da kam aber nix dabei raus, denn laut Schlüsselbund waren die Zertifikate stets makellos. Nur Mail mochte sie nicht.

Langer Rede kurzer Sinn: Nachdem ich die Mail-Datenbank komplett neu aufgebaut habe, werden die signierten E-Mails klaglos anerkannt.

Den Neu-Aufbau der Mail-Datenbank habe ich so gemacht:

1. Mail beenden
2. In ~/Library/Preferences alles gelöscht, was mit com.apple.mail anfängt
3. In ~/Library/Mail/V6 alles gelöscht, was mit Envelope Index anfängt
4. Neustart des Mac
5. Mail öffnen und warten bis die Mail-Datenbank neu aufgebaut ist

Danach war das Problem tatsächlich verschwunden.

Im Internet habe ich Hinweise gefunden, dass das Problem nur bei Mails mit Anhängen auftaucht. Bei mir waren das alle - vielleicht zählt die Signatur auch als Anhang. Probleme mit Anhängen bei verschlüsselten E-Mails hatte Apple ja schon mal. Damals konnte man Anhänge aus verschlüsselten Mails nicht mehr runterladen. Leider scheint das Verschlüsseln und Signieren von Emails nicht besonders intensiv getestet zu werden.

 

[Ijon Tichy]

Nochmals ächz! Das Problem ist wieder da!

Das ganze Re-Indexieren wie oben beschrieben war für die Katz. Bitte meinen vorherigen Post ignorieren! Das hat wohl nur deswegen etwas bewirkt, weil dabei auch die Einstellungen (plist) gelöscht wurden. Dadurch wurde auch die Einstellung Darstellung > Entfernte Inhalte in Nachrichten laden, die bei mir aus Sicherheitsgründen immer aus ist, wieder aktiviert. Als ich heute wieder alles so eingestellt hatte wie ich es brauche und mag, war das Problem wieder da!

Signatur kann nicht überprüft werden

bei jeder einzelnen signierten E-Mail. Schalte ich in den Einstellungen Darstellung > Entfernte Inhalte in Nachrichten laden wieder ein, dann ist die Meldung weg. Ebenso, wenn ich in der entsprechenden Mail auf Entfernte Inhalte laden klicke – auch dann verschwindet die Fehlermeldung.

Aus meiner Sicht eindeutig ein Bug, denn das eine hat mit dem anderen erst mal nichts zu tun. Bugreport bei Apple aktualisiert.

 

[Dr.Death]

Vielleicht werden die in der eMail enthaltenen SMIME Bereiche als "Anhang" deklariert und somit nicht mehr "geladen".
Damit ist dann auch eine Prüfung nicht mehr erfolgreich.

Nur mal so laut gedacht.....

 

[Ijon Tichy]

Vielleicht werden die in der eMail enthaltenen SMIME Bereiche als "Anhang" deklariert und somit nicht mehr "geladen".

So was in der Art vermute ich auch. Evtl. wird fälschlicherweise nicht zwischen eingebetteten und entfernten Anhängen unterschieden. Die Signatur ist zwar ein Anhang, wird ja aber eigentlich nicht von remote geladen.

 

[Ijon Tichy]

Meiner Meinung nach ist das wieder mal peinlich für Apple, denn dadurch haben sie das EFAIL-Problem verschärft, das noch nicht all zu langer Zeit in aller Munde war: Es wird ja wärmstens empfohlen, eben nicht Content von extern zu laden, aber um die Signatur zu prüfen muss man das jetzt tun. Also entweder kann ich mir nicht sicher sein, ob die Signatur gültig und also die Nachricht nicht modifiziert wurde oder ich muss potenziell gefährlichen Content laden, der wie in EFAIL beschrieben sogar dazu führen könnte, dass verschlüsselte Inhalte geleakt werden. Beides nicht besonders zufriedenstellend.

Sehr, sehr enttäuschend.

 

[Ijon Tichy]

Mein Bugreport wurde jetzt als Dupe gekennzeichnet (Status OPEN). Problem also bekannt.

 

[ChemGolf]

Hast du mittlerweile eine Lösung gefunden? Ich habe unter macOS 12.2.1 (Monterey) exakt das selbe Problem. Also auch nach über drei Jahren keine Lösung von Apple...

 

[Bob___]

S/MIME ist eben nur in Deutschland bzw. Europa wichtig. International spielt es kaum eine Rolle.

 

[Ijon Tichy]

Hast du mittlerweile eine Lösung gefunden? Ich habe unter macOS 12.2.1 (Monterey) exakt das selbe Problem. Also auch nach über drei Jahren keine Lösung von Apple...

Nein, das ist weiterhin nicht gelöst, wie leider auch viele andere Bugs. Aber das Problem verschwindet, wenn man in Mail das Relay einschaltet unter Einstellungen > Datenschutz > Mail-Aktivität schützen. Dann ist das Nachladen sicher und die Meldung mit der Signaturprüfung kommt auch nicht mehr. Für mich ein akzeptabler Work-around.

S/MIME ist eben nur in Deutschland bzw. Europa wichtig. International spielt es kaum eine Rolle.

Das ist nicht richtig. Mir ist zufällig bekannt, dass S/MIME in bestimmten Branchen sehr wohl verwendet wird, vor allem in den USA, aber auch in anderen Ländern.