Bislang wurden per E-Mail verschickte Rechnung in unserem Unternehmen über DATEV e:secure signiert. Die Lösung funktonierte viele Jahre problemlos. Doch leider stellt DATEV den Trustcenterbetrieb ein – soweit mir bekannt aufgrund mangelnder Nachfrage. Auf der Suche nach einer Alternative verwies DATEV uns an Signtrust, eine Tocher der Post AG.
Nachdem in der letzten Woche bereits Smartcard und PIN-Codes bei uns eingingen, wurde auch heute der neue Cardreader geliefert. Die Installation der mitgelieferten Software verlief zwar unnötig kompliziert, aber problemlos. Testweise signierten und verschlüsselten wir über die im Lieferumfang enthaltene Software OpenLimit SignCubes einige Dateien – klappte prima.
Doch die Probleme folgten stehenden Fußes, als wir versuchten das Signtrust-Zertifikat seinem primären Zweck zuzuführen: Dem Signieren von E-Mails aus Microsoft Outlook 2003 heraus. Zwar ließ sich das Zertifikat ohne Mühe einbinden, doch beim Versenden von zu signierenden E-Mails verweigerte Outlook mit der Fehlermeldung den Dienst, dass die Nachricht weder verschlüsselt noch signiert werden könne, da keine Zertifikate für das Senden von Nachrichten von der Adresse vorhanden seien.
Ein Blick auf die Details des Zertifikats bestätigten die Fehlermeldung. Tatsächlich war für den Antragssteller keine E-Mailadresse im Signtrust-Zertifikat hinterlegt.
Allerdings fordert S/MIME v2 dass in den verwendeten Zertifikaten die E-Mailadresse des Absenders hinterlegt sein muss. Darüber inwieweit es sinnvoll ist ein Zertifikat an eine E-Mailadresse zu binden, lässt sich vortrefflich streiten, aber es ist mehr als ärgerlich, dass sich die doch recht teueren Signtrust-Zertifikate nicht ohne Weiteres zum Signieren von E-Mails nutzen lassen.
Zum Glück gibt es eine, der Supportabteilung von Signtrust übrigens bislang unbekannte, Lösung für Outlook 2003.
Tatsächlich ist die Absenderadresse zur Überprüfung einer signierten E-Mail völlig unerheblich, da das Zertifikat an den Antragsteller gebunden ist und seine E-Mailadresse nur ein zusätzlich Attribut ist. Darum wird zumindest von Outlook kein Zertifikat nur aufgrund einer abweichenden E-Mailadresse als ungültig eingestuft. Lediglich der Versand bereitet Probleme, doch das lässt sich via Registry lösen.
Dazu ist im Hive HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\11.0\Outlook\Security der DWORD-Wert SupressNameChecks einzufügen und mit 1 zu belegen. Fortan lassen sich über Outlook auch mit Signtrust-Zertifikaten signierte E-Mails versenden.
Ein Supporter von Signtrust insistierte, Signtrust habe uns ausdrücklich darauf hingewiesen, dass es nicht möglich ist mit Signtrust-Zertifikaten E-Mails zu signieren. Bislang gelang es mir jedoch nicht einen entsprechenden Vermerk in den Unterlagen zu finden – außerdem geht es ja dennoch, wenn auch nur über Umwege. Allerdings wirkte die Erklärung sehr einstudiert und erfolgte schon, ehe ich unser Problem vollständig schildern konnte. Mich deucht, dass unsere Beschwerde kein Einzelfall ist.
Übrigens gab Signtrust mir die Auskunft, dass Ihnen keine Genehmigung der Bundesnetzagentur vorläge, um die E-Mailadresse des Antragsstellers ins Zertifikat zu integrieren. Weiß jemand genaueres darüber?