Warum kann ich mit dem Web-Mail-Portal des ITMZ (Web-Outlook) per S/MIME keine E-Mails signieren und verschlüsseln, die Signatur von signierten E-Mails überprüfen oder verschlüsselte E-Mails entschlüsseln?

  1. Aktuell unterstützt  keiner der Standardwebbrowser (Chrome, Edge, Firefox, Safari) clientseitiges  S/MIME von Haus aus, um E-Mails mittels Zertifikaten zu signieren, zu verschlüsseln, um die Signatur von signierten E-Mails zu überprüfen oder verschlüsselte E-Mails zu entschlüsseln.
       
  2. Es existieren aktuell keine kostenlosen Erweiterungen, um die aktuellen Standardwebbrowser mit einer allgemein nutzbaren clientseitigen S/MIME-Funktionalität zu erweitern.
     
  3. Das serverseitige Signieren und Verschlüsseln von E-Mails erfordert die Speicherung der verwendeten Zertifikate einschließlich der privaten Schlüssel auf dem Mailserver.

    Das Web-Mail-Portal des ITMZ ermöglicht aktuell keine direkte Speicherung von Zertifikaten durch Benutzer pro Mailbox.
       
    Daher ist die Nutzung von Zertifikaten zum Signieren und Verschlüsseln von E-Mails mit dem Web-Mail-Portal des ITMZ nicht serverseitig sondern nur eingeschränkt clientseitig auf zentral verwalteten Systemen des ITMZ möglich, s. dazu „Wie kann ich mit dem Web-Mail-Portal (Web-Outlook) E-Mails signieren oder verschlüsseln?“.
       
    Darüber hinaus ist die Speicherung von privaten Schlüsseln eines DFN-Zertifikates auf Servern laut den Nutzungsbestimmungen der DFN-PKI nur unter bestimmten Bedingungen erlaubt:

    aus
    https://www.pki.dfn.de/fileadmin/PKI/Info_Zertifikatinhaber.pdf

    „Der private Schlüssel zu dem Zertifikat darf nur Ihnen zugänglich sein. Eine Weitergabe ist nicht erlaubt.“

    „Sie dürfen den privaten Schlüssel nur dann an zentrale Geräte wie z.B. Mail-Appliances übergeben, wenn der Betreiber zusichert, die Regeln aus Kapitel 6, „Pflichten der Teilnehmer“ (https://www.pki.dfn.de/fileadmin/PKI/Pflichten-der-Teilnehmer.pdf), einzuhalten.“

Das ITMZ empfiehlt daher den Einsatz von vollwertigen Mailprogrammen wie Microsoft Outlook oder Mozilla Thunderbird, um E-Mails anhand von Zertifikaten per S/MIME zu signieren und zu verschlüsseln.