Neu S/MIME im Shop?

[_simone_]

Wo kann ich im Shop ein Zertifikat hinterlegen, dass ausgehende e-mails die SMIME Signatur enthalten?
Geht das überhaupt?

 

[_simone_]

Geht das überhaupt?

Ich vermute mal nicht...
Wird es evt. in Shop 5 gehen?

Es werden mehr, die Informationen ungerne per "Postkarte" verschicken, wenn es auch mit einem geschlossenen Umschlag einfach möglich ist.

 

[JulianG]

Derzeit leider nicht. Ich hab ein Ticket dafür erstellt: https://issues.jtl-software.de/issues/SHOP-4252

 

[sebjo82]

S/MIME wäre schon eine feine Sache und in 2022 zeitgemäß

 

[Verkäuferlein]

Hab's auch auf dem Zettel und mal dafür gevotet...

 

[FMoche]

Ihr könnt das gerne via Plugin ausprobieren:
https://gitlab.com/felix.jtl/jtl_smime/

Aber bitte aufpassen: Ihr braucht eine S/MIME-kompatbile .pem-Datei samt Key, die vom Webserver lesbar sein muss.
Passwort und Zertifikatskette sind optional und können leer gelassen werden.
Unbedingt nach Installation/Konfiguration eine Testmail (z.B. im Backend unter Emailvorlagen) versenden und schauen, ob die Mail korrekt bei euch ankommt und signiert wurde.
PHPMailer scheint einfach leere Mails zu versenden, falls die Signierung aus irgendwelchen Gründen nicht funktionieren sollte.

 

[der_Martin]

Ihr könnt das gerne via Plugin ausprobieren:
https://gitlab.com/felix.jtl/jtl_smime/

Aber bitte aufpassen: Ihr braucht eine S/MIME-kompatbile .pem-Datei samt Key, die vom Webserver lesbar sein muss.
Passwort und Zertifikatskette sind optional und können leer gelassen werden.
Unbedingt nach Installation/Konfiguration eine Testmail (z.B. im Backend unter Emailvorlagen) versenden und schauen, ob die Mail korrekt bei euch ankommt und signiert wurde.
PHPMailer scheint einfach leere Mails zu versenden, falls die Signierung aus irgendwelchen Gründen nicht funktionieren sollte.

Hallo,

gibts eine Anleitung dafür? Ich habe von unserm Zertifizierer Comodo eine .p12 Datei und Passwort dafür.
Das funktioniert soweit auch ganz gut mit unserem lokalen Mailprogramm.
Wie gehe ich aber im Plugin damit um?? :-?

Grüße
Martin

 

[FMoche]

Siehe Anleitung hier: https://github.com/PHPMailer/PHPMailer/blob/master/examples/smime_signed_mail.phps

Rein theoretisch müsste das also mit diesen 3 Schritten gehen (ich nehme hier an, deine .p12-Datei heißt "cert.p12):

openssl pkcs12 -in cert.p12 -nocerts -out cert.key
openssl pkcs12 -in cert.p12 -clcerts -nokeys -out cert.crt
openssl pkcs12 -in cert.p12 -cacerts -out certchain.pem

Anschließend hast du 4 Dateien:
cert.crt
cert.key
cert.p12
certchain.pem

In den Plugineinstellungen gibst du dann die jeweiligen Pfade an.

 

[der_Martin]

Siehe Anleitung hier: https://github.com/PHPMailer/PHPMailer/blob/master/examples/smime_signed_mail.phps

Rein theoretisch müsste das also mit diesen 3 Schritten gehen (ich nehme hier an, deine .p12-Datei heißt "cert.p12):

openssl pkcs12 -in cert.p12 -nocerts -out cert.key
openssl pkcs12 -in cert.p12 -clcerts -nokeys -out cert.crt
openssl pkcs12 -in cert.p12 -cacerts -out certchain.pem

Anschließend hast du 4 Dateien:
cert.crt
cert.key
cert.p12
certchain.pem

In den Plugineinstellungen gibst du dann die jeweiligen Pfade an.

Danke! Ich probiers irgendwann später noch mal. Bin schon mit Tools wie KeyStore Explorer gescheitert das Paket mit dem Schlüsselpaar mit Zertifikatskette passend zu aufzuteilen....

 

[Verkäuferlein]

Wenn ich das richtig verstehe, sorgt die Zertifikatshinterlegung ja aber nur dafür, dass der Public-Key gestreut wird und die e-Mail-Authentizität geprüft werden kann bringt aber noch keine Verschlüsselung mit sich!?

Im Endeffekt ist das also nur ein Zusatz bzw. eine Alternative zu DKIM, korrekt?

Ist auch geplant, dass der Kunde seinen Public-Key hinterlegen kann bzw. die Zustimmung geben kann, dass dieser aus einem Verzeichnis ausgelesen wird und damit verschlüsselt gemailt wird (sofern der Kunde die S/MIME-Verschlüsselung nutzt und das wünscht)?

 

[der_Martin]

Wenn ich das richtig verstehe, sorgt die Zertifikatshinterlegung ja aber nur dafür, dass der Public-Key gestreut wird und die e-Mail-Authentizität geprüft werden kann bringt aber noch keine Verschlüsselung mit sich!?

Im Endeffekt ist das also nur ein Zusatz bzw. eine Alternative zu DKIM, korrekt?

Ist auch geplant, dass der Kunde seinen Public-Key hinterlegen kann bzw. die Zustimmung geben kann, dass dieser aus einem Verzeichnis ausgelesen wird und damit verschlüsselt gemailt wird (sofern der Kunde die S/MIME-Verschlüsselung nutzt und das wünscht)?

Ja. Ich für meinen Teil möchte einfach nur optisch signalisieren, dass wir die sind, die wir vorgeben zu sein. Außerdem soll es wohl absichern, dass die Mail seit dem Absenden nicht verändert wurde. Das behauptet zumindest mein Thunderbird, dass dem so wäre... Aber ich weiß nicht, ob da tatsächlich irgendeine Prüfsumme im Spiel ist (??). Viele Mail-Programme zeigen ein Siegel-Symbol an (vergleichbar dem Schlüssel-Symbol in der Browserleiste). Ich bin der Marketing-Fuzzi und mir gehts nur um dieses Symbölchen . Ist ein-bisschen-Vertrauen-schaffen.....

Wenn ich mir in meinem Mail-Programm anschaue, wer das S/Mime Siegelysmbol hat, sind das nur die Mails von spezialisierten Mail-Dienstleister, Administratoren und andere Freaks. Und DHL schickt mir Mails mit S/Mime Signatur raus..... sonscht keiner. Kennt eigentlich keiner, obwohls uralt ist.

Den Public Key des Kunden bekäme ich ja, wenn er mir entsprechend antwortet. Ob ich meine Mails damit allerdings ende-zu -ende komplett verschlüsseln wollte, nachdem dem Progamm der Public Key bekannt ist, weiß ich nicht. Erstens ist die Barriere bei verschlüsselten Mails sehr hoch. Kommt mir mein key abhanden oder geht was schief, dann hab ich im schlimmsten Fall eine riesige Menge Mail-Datensalat. Zweitens ist mir der private-key per se zu unsicher. Zumindest der Herausgeber des Zertifikats kennt ja theoretisch meinen private key....

 

[Verkäuferlein]

Ja. Ich für meinen Teil möchte einfach nur optisch signalisieren, dass wir die sind, die wir vorgeben zu sein. Außerdem soll es wohl absichern, dass die Mail seit dem Absenden nicht verändert wurde. Das behauptet zumindest mein Thunderbird, dass dem so wäre... Aber ich weiß nicht, ob da tatsächlich irgendeine Prüfsumme im Spiel ist (??). Viele Mail-Programme zeigen ein Siegel-Symbol an (vergleichbar dem Schlüssel-Symbol in der Browserleiste). Ich bin der Marketing-Fuzzi und mir gehts nur um dieses Symbölchen . Ist ein-bisschen-Vertrauen-schaffen.....

Also im Idealfall hast Du die Mail ja mit Deinem Zertifikat signiert. Thunderbird kann das Zertifikat über die CA prüfen (sofern das entsprechende CA-Zertifikat bei Dir installiert ist oder die Zertifizierungsstelle eine vorinstallierte Standardzertifizierungsstelle ist). Wenn das Zertifikat von der CA als korrekt validiert wird, sollte dann auch der Mail-Inhalt dem Signierungszustand entsprechen.

Als "Marketing-Fuzzi" ist aber auch die Verschlüsselung von Mails und damit der Schutz des Inhalts der Kommunikation ein Argument, welches Vertrauen in die Datensicherheit bei einem Online-Händler schafft und dem Käufer signalisiert, da macht sich jemand Gedanken um meine Sicherheit und die Sicherheit meiner Daten. Außerdem gibt's bestimmt ein Fleißbienchen von der Datenschutz-Behörde, wenn die mal vorbeischaut.

Wenn ich mir in meinem Mail-Programm anschaue, wer das S/Mime Siegelysmbol hat, sind das nur die Mails von spezialisierten Mail-Dienstleister, Administratoren und andere Freaks. Und DHL schickt mir Mails mit S/Mime Signatur raus..... sonscht keiner. Kennt eigentlich keiner, obwohls uralt ist.

Jop, meines Wissens ist das aber noch nicht allzu lange in den meisten Mail-Clients auch soweit integriert, dass es dem Endnutzer über den Weg hätte laufen können.

Den Public Key des Kunden bekäme ich ja, wenn er mir entsprechend antwortet. Ob ich meine Mails damit allerdings ende-zu -ende komplett verschlüsseln wollte, nachdem dem Progamm der Public Key bekannt ist, weiß ich nicht. Erstens ist die Barriere bei verschlüsselten Mails sehr hoch. Kommt mir mein key abhanden oder geht was schief, dann hab ich im schlimmsten Fall eine riesige Menge Mail-Datensalat. Zweitens ist mir der private-key per se zu unsicher. Zumindest der Herausgeber des Zertifikats kennt ja theoretisch meinen private key....

Da verstehe ich Deine Sorge nicht ganz. Der Public Key ist ja nichts anderes, als wenn der Kunde dir eine offene Box mit einem Vorhängeschloß sendet, Du den Inhalt in die Box packst, diese verschließt und das Vorhängeschloss zumachst. Du kennst ja trotzdem den Inhalt der Box und kannst vorher eine Kopie speichern. Du kannst die Box dann zwar selber nicht mehr öffnen, der Kunde kann das aber mit dem Schlüssel des Vorhängeschlosses (Private Key).

Die Frage ist ja, wo und wann die Mails verschlüsselt werden. Du kannst ja vorab / parallel eine unverschlüsselte Kopie speichern und die Verschlüsselung erst beim Mailausgang stattfinden lassen.

Wenn eine Zertifizierungsstelle nicht vertrauenswürdig ist, hast Du sowieso ein Riesenproblem, aber häufig kannst Du den Private-Key auch selber erstellen und hinterher nur das Zertifikat von der CA signieren lassen, dazu braucht diese ja nur Ihren eigenen Private Key für das CA-Zertifikat sowie die Zertifikatsanforderung inkl. Public Key.

Außerdem geht es ja auch nicht um hochgeheime Dinge, nur einen Briefumschlag, statt der Postkarte. Und der Briefumschlag schützt ja auch nur begrenzt, wenn jemand wirklich an den Inhalt heranwill. Den Brief musst Du halt auch an die Post übergeben und darauf vertrauen, dass er ungeöffnet ankommt.