Kostenloses S/MIME Zertifikat mit Haltbarkeit 10 Jahre?

Question

Wir kommunizeren mit dem Steuerberater über ein S/MIME zertifikat von DGNCert dessen public key  man bei Datev Online hochlädt. Leider ist das Zertifikat auf 1 Jahr dauer begrenzt. Ein jährlicher Zertifikatswechsel nervt. Ich hätte gerne ein möglichst kostenloses oder einmalig günstiges Zertifikat das 10 Jahre hält. Gibt es einen empfehlenswerten Zertifikatsaussteller mit langer Haltbarkeit?

Answer 1

Guten Tag,

leider werden SIe keine Zertifikate finden, welche länger als 3 Jahre gültig sind. Seit 2018 sind alle Zertifizierungsdienstleister dazu übergegangen Zertifikate nur noch in kurzen Abständen auszustellen. Für SSL Zertifikate von Websites sind wird mittlerweile bei einer maximalen Laufzeit von einem Jahr (+1-2 Monate Karenzzeit). S/MIME Zertifikate werden bei den meisten Anbietern für ein Jahr ausgestellt, ein paar wenige Anbieter bieten hier zwei oder drei Jahre an (kostenpflichtig). Wenn Sie längere Laufzeiten buchen können, werden diese Zertifikate meistens auch nach Ablauf der Höchstfrist (3 Jahre) neu ausgestellt, wobei auch die meisten Anbieter auf den 1 Jahres Neuausstellungszyklus setzen.

Auf der anderen Seite kann man den jährlichen Zertifikatswechsel auch positiv sehen: Er erhöht die Sicherheit des Zertifikates da dieses durch die kurze Laufzeit nicht mehr so interessant ist durch interessierte Personen geknackt oder gestohlen zu werden.

Answer 2

Alternativ können Sie für diesen Zweck auch selbst über die Schlüsselbundverwaltung ein Zertifikat mit beliebigem Ablaufdatum erstellen und den öffentlichen Schlüssel bei Datev hochladen.

Comments

Danke Herr Jenke, ja, das wäre eine Alternative.

Und GDPR conforme S/Mime kosten gleich mal 80 Euro für 3 Jahre Herr Hillebrand habe ich gesehen. Was sich da digital summiert ist schon krass.

---

Hallo,

Wenn man S/MIME verwenden möchte, sollte dem Zertifikat schon öffentlich vertraut werden - ein selbstsigniertes Zertifikat ist hier , in meinen Augen, nicht zu empfehlen. Erlaubt DATEV dies überhaupt, wenn die Zertifizierungsstelle nicht öffentlich ist? Ich gehe auch davon aus, dass Sie das Zertifikat nicht nur für DATEV Kommunikation verwenden sondern auch für Ihre normale Kommunikation - hier ist ein privates Zertifikat eher kontraproduktiv - es wird den Empfängern immer als fehlerhaft bzw. nicht sicher angezeigt (je nach E-Mail Client). Manche E-Mail Server können sogar schon E-Mails mit nicht gesicherten Zertifikaten löschen (ähnlich Spam oder virenbefallenen E-Mails).

Für kostenfreie Zertifikate gibt es (wie bereits erwähnt) DGNCert oder Actalis. Der Komfort nicht jährlich wechseln zu müssen, kostet leider viel Geld. Mir persönlich ist der relativ kleine Aufwand für die Erneuerung einmal im Jahr keine 25€ wert (insbesondere wenn es um mehrere Mailadressen geht), jedoch muss dies jeder für sich selbst entscheiden.

---

Die Frage ist ob so ein DGNCert überhaupt OK ist. Auch damit bekommt das Gegenüber eine Fehlermeldung und muss dem Zertifikat in der Zertifikatsverwaltung zuerst vertrauen. Nach meinem verständnis, nach Recherche, kommt nur bei registrierten Rootzertifikaten keine Fehlermeldung beim gegenüber und der Ablauf wird vereinfacht, denn genau dieser Schritt das Vertrauen zu setzen geht den meisten Usern zu Tief ins OS wo sie nicht wissen was sie tun und was zu tun ist. Mit dieser Logik könnte man sehr wohl auch ein selbt generiertes benutzen. 

Dann gbt es noch die GRDP konforme Verschlüsselung. Was auch immer das sein mag. Ich bilde mir ein, dass Certum Polen eingetragen ist. Da müsste man nochmal nachsehen.

 

Edit hier:

• Issued by Certum PCC, whose certificate root is automatically recognized as trusted in all the most popular Internet browsers as well as in all Microsoft products

das steht bei tech specs auch bei Certum E-mail ID Individual (S/MIME)

 

 

---

Wenn Sie möchten, probieren Sie gerne Actalis aus. Diese stellen kostenfreie, öffentlich vertraute S/MIME Zertifikate aus. Das DGNCert dies nicht anbietet, wundert mich ein wenig (ich ging bisher davon aus, dass diese auch einen vertrautes Ankerzertifikat nutzen).

---

Ich habe mit Christian Klaproth DGNCert probiert und es kam immer eine Fehlermeldug bei ihm solange er nicht Zertifikat vertrauen im Schlüsselmanager geklickt hat. Das dürfte bei vertrautem root ja nicht passieren. Bei DGN Cert muss das Root auch installiert werden am Mac was ich auch komisch finde.

---

Dann revidiere ich meine Meinung über die Funktionalität von DGNCert. Bleibt anscheinend nur noch Actalis für kostenfreie, akzeptierte Zertifikate nachdem comodo die Verteilung eingestellt hat.

---

Vielleicht kann es Christian ja bestätigen? Will nichts falsches in die Welt setzen über DGNCert.

---

Der Vorschlag bezog sich auf eine Alternative zur verschlüsselten Kommunikation per Mail mit dem Steuerberater über Datev.

Bei selbst signierten Zertifikaten muss der Empfänger manuell für seinen Rechner bestätigen, dass das übermittelte Zertifikat zur Absender-Emailadresse gehört. Da sich beide Parteien kennen, sollte das kein Problem sein. Diese Validierung übernimmt sonst die öffentliche Zertifizierungsstelle und der Rechner des Empfängers akzeptiert das Zertifikat ohne weitere Nachfrage.

Gerade bei kostenlosen Zertifikaten würde ich aber nicht jedem Anbieter blind vertrauen.

Die Sicherheit der Email-Kommunikation hängt letztlich vom gewählten Verschlüsselungsgrad und dem Schutz des privaten Schlüssels vor unbefugtem Zugriff ab. Ein selbst erstelltes Zertifikat ist mir deshalb lieber, als ein kommerzieller Herausgeber, der mir kostenlos das passende Schlüsselpaar generiert.

Eine sichere Email-Kommunikation zwischen zwei Parteien ist mit selbst erstellten Zertifikaten problemlos realisierbar. Datev hat damit auch kein Problem.

Für eine generelle Kommunikation mit unbekannten Empfängern sind sie allerdings unpraktisch, da der Rechner des Empfängers die Echtheit der Emailadresse nicht automatisch abfragen kann und der Nutzer deshalb die enstprechende Nachfrage erhält.

---

Vielen Dank für die Beiträge ich denke auch, dass ein eigenes Zertifikat für die Datev Kommunikation reicht zumal man eigentlich keine Patientendaten austauscht und s/mime nur braucht weil es Datev so will und man ohne s/mime umständlich über den Browser entschlüsseln muss. Hier ein Anleitung zu S/mime.

http://sommteck.net/2016/07/erstellen-eines-smime-zertifikats-unter-mac-os-x/

Mit Patienten wäre weiterhin die Kommunikation über pdf und Passwort und OSX Mail am einfachsten wenn es Zollsoft denn einmal brauchbar umsetzt.

https://forum.tomedo.de/index.php/49832/workflowtest-dsgvo-konformes-emailen-direkt-aus-der-kartei-weiterhin-unbrauchbar?show=49832#q49832

---

es kam immer eine Fehlermeldung ... solange nicht Zertifikat vertrauen im Schlüsselmanager geklickt

Das kann ich bestätigen.

Die Kommunikation mit Patienten insbesondere das versenden ausgewählter Dokumente sollte wie mehrfach angesprochen verbessert wer.

---

Den selbst generierten Key bei Datev Mail /Benutzer/Schlüsselverwaltung hochzuladen klappt bei mir nicht. Fehlermeldung

 Hinweis:Das Zertifikat konnte nicht hinzugefügt werden. Kein gültiges Zertifikat. (Möglicherweise wurde versucht ein SHA1-signiertes Zertifikat hochzuladen)

Der Schlüssel ist RSA keine Ahnung ob der Hash SHA1 ist. Da ist noch eine zweite Möglichkeit die versuche ich mal.

Edit, Nein selbstgeneriertes nimmt Datevonline meiner Meinung nach nicht an. UCC hat lächerlich kurze Bitlänge, das geht nicht.

---

SHA1 konnte geknackt werden und gilt deshalb nicht mehr als sicher. Möglichrweise lehnt Datev aus diesem Grund das Zertifikat ab. EIne Verschlüsselung mit SHA256 ist besser und müsste auch von Datev akzeptiert werden.

---

Ich mache hier was beim exportieren aus dem Schlüsselbund falsch ist auch saublöd aufgebaut mit Anmeldung und System. Ich kann gerade nicht mal ein DGNCert public key hochladen.

---

Ah OK es muss ein .cer hochgeladen werden auf Datev Online.

---

Bevor andere das Rad durch rumsuchen neu erfinden, zum weiterleiten des neu erstellten Zertifikats auf andere Geräte damit auch auf diesen entschlüsseln kann (Iphone, Zweitrechner, Ipad) das Zertifikat in Anmeldung/meine Zertifikate als .p12 Zertifikat exportieren, hierbei starkes Passwort vergeben und sich zum Beispiel selber mailen und importieren.