S/MIME-Prüfung einrichten

Auf dieser Seite können Sie einige Aspekte der Validierung von S/MIME-Zertifikaten einstellen.

Anmerkung

In der Regel ist dies eine einfachere und benutzerfreundlichere Version der gleichen Einstellungen, wie sie unter „Einrichtung des GnuPG-Systems“ zu finden sind. Alles, was Sie hier einstellen können, ist auch dort möglich. Einzige Ausnahme bildet Zertifikatsgültigkeit überprüfen alle N Stunden, welches spezifisch für Kleopatra ist.

Diese Optionen haben folgende Bedeutung:

Einstellen des Intervalls zur Zertifikatüberprüfung

Zertifikatsgültigkeit überprüfen alle N Stunden

Diese Option aktiviert regelmäßiges Überprüfen der Zertifikatgültigkeit. Sie können außerdem das Intervall in Stunden wählen. Der Effekt der hier eingestellten regelmäßigen Überprüfung ist der gleiche wie der von AnsichtAktualisieren (F5) . Es gibt keine Vorbedingungen für die Intervallplanung von ExtrasOpenPGP-Zertifikate aktualisieren oder ExtrasX.509-Zertifikate aktualisieren .

Anmerkung

Die Überprüfung wird vorbehaltlos immer dann ausgeführt, wenn wichtige Dateien in ~/.gnupg verändert werden. Diese Option, wie auch ExtrasOpenPGP-Zertifikate aktualisieren und ExtrasX.509-Zertifikate aktualisieren , betrifft daher nur äußere Faktoren der Zertifikatgültigkeit.

Einstellung der Überprüfungsmethode

Zertifikate unter Verwendung von Sperrlisten prüfen

Falls diese Einstellung aktiviert ist, werden S/MIME-Zertifikate mit Hilfe von Zertifikatsperrlisten (CRLs) überprüft.

Siehe Zertifikate online überprüfen (OCSP) für eine alternative Methode zur Überprüfung der Zertifikatgültigkeit.

Zertifikate online überprüfen (OCSP)

Wenn diese Einstellung ausgewählt ist, werden S/MIME-Zertifikate mittels des Online Certificates Status Protocol (OCSP) überprüft.

Warnung

Wenn diese Methode gewählt ist, wird eine Anfrage an den Server des CA eigentlich immer dann gestellt, wenn Sie eine verschlüsselte Nachricht empfangen oder senden. Daher ist es dem Zertifikataussteller theoretisch möglich nachzuverfolgen mit wem Sie (z. B.) E-Mails austauschen.

Um diese Methode nutzen zu können müssen Sie die URL des OCSP-Antwortservers in Adresse der OCSP-Gegenstelle eingeben.

Sehen Sie Zertifikate online überprüfen (OCSP) für eine traditionellere Methode zur Überprüfung der Zertifikatgültigkeit, die keine Informationen darüber verrät, mit wem sie Nachrichten austauschen.

Adresse der OCSP-Gegenstelle

Geben Sie hier die Adresse des Servers für die Online-Überprüfung von Zertifikaten ein (OCSP-Antwortserver). Die Adresse (URL) beginnt üblicherweise mit http://.

Signatur der OCSP-Gegenstelle

Wählen Sie hier das Zertifikat mit dem der OCSP-Server seine Antworten signiert.

Dienst-Adresse in Zertifikaten ignorieren

Normalerweise enthält jedes S/MIME-Zertifikat die URL des OCSP-Antwortservers des zugehörigen Ausstellers ( ZertifikateZertifikat ausgeben gibt aus, ob ein bestimmtes Zertifikat diese enthält).

Auswählen dieser Option lässt GpgSM diese URLs ignorieren und nutzt nur die oben eingestellten.

Benutzen Sie dies um z. B. die Verwendung eines firmenweiten OCSP-Proxys zu erzwingen.

Überprüfungseinstellungen einrichten

Zertifikats-Richtlinien nicht überprüfen

Standardmäßig verwendet GpgSM die Datei ~/.gnupg/policies.txt zur Überprüfung, ob ein bestimmter Umgang mit einem Zertifikat erlaubt ist. Falls diese Einstellung aktiviert ist, wird die Überprüfung nicht durchgeführt.

Nie Sperrlisten zu Rate ziehen

Wenn diese Option ausgewählt ist, werden Zertifikat-Widerrufslisten (Certificate Revocation Lists, CRLs) nie zur Überprüfung von S/MIME-Zertifikaten verwendet.

Das Markieren von Wurzelzertifikaten als vertrauenswürdig zulassen

Falls diese Einstellung beim Importieren eines Wurzel-CA-Zertifikates aktiviert ist, werden Sie um Bestätigung des Fingerabdrucks und des Status gebeten, egal ob Sie dem Zertifikat vertrauen oder nicht.

Sie müssen einem Wurzelzertifikat vertrauen, damit die damit signierten Zertifikate ebenfalls vertrauenswürdig werden können. Durch leichtfertiges Importieren und Vertrauen von Wurzelzertifikaten können Sie die Sicherheit des gesamten Systems gefährden.

Anmerkung

Diese Funktion in den Treibereinstellungen zu aktivieren kann zu sich öffnenden Fenstern durch PinEntry zu unliebsamen Zeitpunkten führen (z. B. beim Überprüfen von Signaturen) und kann dadurch unbeaufsichtigte E-Mail-Bearbeitung blockieren. Aus diesem Grund und weil es wünschenswert sein kann einem vertrauten Wurzelzertifikat wieder zu misstrauen, erlaubt Kleopatra das manuelle Setzen des Vertrauens mit Hilfe von ZertifikateWurzelzertifikat vertrauen und ZertifikateWurzelzertifikat nicht vertrauen .

Diese Einstellung hier beeinträchtigt die Kleopatra-Funktion nicht.

Fehlende Aussteller-Zertifikatsketten einholen

Falls diese Einstellung aktiviert ist, werden fehlende Ausstellerzertifikate heruntergeladen (das gilt für beide Überprüfungsmethoden, CRLs und OCSP).

Einrichten der Optionen für HTTP-Anfragen

Keine HTTP-Anfragen durchführen

Schaltet die Verwendung von HTTP für S/MIME gänzlich ab.

HTTP-Quellen für Sperrlisten von Zertifikaten ignorieren

Für die Suche der Adresse einer Sperrliste (CRL) enthält das fragliche Zertifikat häufig die Angabe eines CRL-Verteilers (Distribution Point: DP), der die Angabe von Adressen (URLs) zur Beschreibung des Zugriffs auf die CRL enthält. Der erste DP-Eintrag wird verwendet.

Bei dieser Einstellung werden alle Einträge, die das LDAP-Schema verwenden, bei der Suche nach einem passenden DP-Eintrag ignoriert.

Systemweiten HTTP-Proxy-Server verwenden

Falls diese Einstellung aktiviert ist, wird der rechts angezeigte HTTP-Proxyserver (die Einstellung stammt aus der Umgebungsvariable http_proxy) für alle HTTP-Anfragen verwendet.

Diesen Proxy für HTTP-Anfragen verwenden

Sollte kein systemweiter Proxy vorgegeben sein oder Sie einen anderen Proxy für GpgSM nutzen wollen, können Sie diesen hier angeben.

Dieser wird für alle HTTP-Anfragen, die S/MIME betreffen, genutzt.

Als Syntax wird Host:Port, z. B. meinproxy.nirgendwo.de:3128 benutzt.

Einrichten der Optionen für LDAP-Anfragen

Keine Verzeichnisdienstanfragen durchführen

Die Verwendung von LDAP für S/MIME gänzlich abschalten.

Verzeichnisdienst-Quellen für Sperrlisten von Zertifikaten ignorieren

Für die Suche der Adresse einer Sperrliste (CRL) enthält das fragliche Zertifikat häufig die Angabe eines CRL-Verteilers (Distribution Point: DP), der die Angabe von Adressen (URLs) zur Beschreibung des Zugriffs auf die CRL enthält. Der erste DP-Eintrag wird verwendet.

Bei dieser Einstellung werden alle Einträge, die das LDAP-Schema verwenden, bei der Suche nach einem passenden DP-Eintrag ignoriert.

Primäre Adresse für Anfragen an den Verzeichnisdienst:

Ist hier ein LDAP-Server angegeben, werden alle LDAP-Anfragen zuerst zu diesem Server gesendet. Genauer gesagt überschreibt diese Einstellung hier sämtliche Host- und Port-Teile in einer LDAP-URL und wird auch dann genutzt wenn Host und Port in der URL nicht auftauchen.

Andere LDAP-Server werden nur dann genutzt, wenn die Verbindung Proxy nicht aufgebaut werden konnte. Die Syntax hierfür ist Host oder Host:Port. Ist Port ausgelassen, wird Port 389 (der Standard-Port für LDAP) genutzt.