Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,

uns ist besonders wichtig, dass Sie Ihre E-Mails sicher versenden und empfangen können. Dazu haben wir eine Neuigkeit für Sie: Wir haben heute als erster Anbieter ein Zertifikat nach der neuen Richtlinie “Sicherer E-Mail-Transport” des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten.

Das Zertifikat wurde uns von der Zertifizierungsstelle datenschutz cert übergeben. Auch Vertreter des BSI waren anwesend. Sie können ab sofort an dem Zertifikat auf unserer Webseite erkennen, dass unsere Sicherheitsmaßnahmen unabhängig geprüft wurden und nachweislich den Anforderungen des BSI entsprechen.


Übergabe des Zertifikats bei Posteo: Thomas Gast (BSI), Thomas Gilles (BSI), Ralf von Rahden (datenschutz cert), Patrik Löhr (Posteo), Florian Bierhoff (BSI)

Die neue Richtlinie beschreibt Maßnahmen, die ein E-Mail-Dienst ergreifen sollte, um E-Mails beim Transport wirksam vor unbefugten Mitlesern zu schützen. So müssen E-Mail-Dienste die Technologie DANE einsetzen, wenn sie eine Zertifizierung erhalten möchten. DANE beseitigt verschiedene Schwachstellen der gängigen Transportwegverschlüsselung TLS und verhindert so genannte Man-in-the-Middle-Angriffe, bei denen sich Angreifer in einen Kommunikationsvorgang einklinken und die Verschlüsselung aushebeln. Posteo war 2014 der erste Anbieter, der DANE eingesetzt hat. Seither engagieren wir uns für die Verbreitung dieser noch recht neuen, aber für die Vertraulichkeit von digitaler Kommunikation wegweisenden Technologie. Damit unsere Kunden nicht nur untereinander sicher kommunizieren – sondern auch mit den Nutzern anderer E-Mail-Dienste. Deshalb freut uns besonders, dass der freie Standard DANE für eine Zertifizierung verpflichtend ist. #more#

Wir haben uns seit 2014 in einer Arbeitsgruppe gemeinsam mit anderen E-Mail-Anbietern an einem offenen Dialog mit dem BSI beteiligt und an der Entstehung der Richtlinie mitgewirkt. Dabei haben wir uns für hohe Sicherheitsanforderungen und eine einfache Umsetzbarkeit eingesetzt.

Wir kritisieren Behörden häufig, wenn Dinge in der Praxis nicht funktionieren – zum Beispiel in unseren Transparenzberichten. Die neue Richtlinie „Sicherer E-Mail-Transport“ des BSI begrüßen wir hingegen. Das BSI hatte ein großes Interesse daran, die Richtlinie in Zusammenarbeit mit den Anbietern praxisnah zu konzipieren. Die Richtlinie entspricht höchsten Sicherheitsanforderungen und eine Zertifizierung ist auch für kleinere Anbieter wie Posteo vom Zeit- und Kostenaufwand her umsetzbar.

Neues Zertifikat kennzeichnet sichere E-Mail-Dienste

Auch für die Verbraucherinnen und Verbraucher ist es aus unserer Sicht ein großer Fortschritt, dass Angaben von E-Mail-Diensten über ihre Sicherheitsvorkehrungen nun von unabhängigen Stellen überprüft werden können. Ob ein Dienst die Kriterien der Richtlinie nachweislich erfüllt, können sie künftig an den Zertifikaten auf der Website eines Anbieters erkennen. Das Logo verweist mit der Aufschrift “BSI TR-03108 zertifiziert” auf die entsprechende Richtlinie.

Die Richtlinie des BSI stellt keine rechtliche Verpflichtung, sondern eine Empfehlung über Sicherheitsvorkehrungen dar. Anbieter, die ein entsprechendes Zertifikat erhalten möchten, müssen allerdings nachweisen, dass sie alle Anforderungen der Richtlinie erfüllen.

Die Zertifizierung übernimmt eine unabhängige Stelle. Posteo wurde von datenschutz cert zertifiziert. Andere E-Mail-Anbieter und E-Mail-Dienste wie beispielsweise von Firmen oder Universitäten können sich ab sofort für eine Überprüfung anmelden. Wir hoffen, dass die Richtlinie die Verbreitung der empfohlenen Sicherheitstechnologien weiter stärkt. Hohe gemeinsame Standards verbessern das Sicherheitsniveau auch für E-Mails, die Sie an Kontakte bei anderen E-Mail-Anbietern verschicken. So wird E-Mail-Kommunikation insgesamt sicherer.

Viele Grüße,
Ihr Posteo-Team

Zusatzinformationen für Technikinteressierte

– Die Technische Richtlinie finden Sie auf der Website des BSI,
- Posteo verwendet DANE seit Mai 2014. Mehr zu DANE können Sie hier nachlesen.
- Ende-zu-Ende-Verschlüsselung macht Transportwegverschlüsselung übrigens nicht überflüssig: Ende-zu-Ende-Verschlüsselung schützt in der Regel lediglich die Inhalte Ihrer Kommunikation, nicht aber Metadaten – wie die Betreffzeile und die Informationen, wer mit wem kommuniziert. Eine Transportwegverschlüsselung mit TLS schützt sowohl die Inhalte als auch die Metadaten von E-Mails auf dem Weg durch das Internet. DANE sichert diese Verschlüsselung zusätzlich ab. Eine Ende-zu-Ende-Verschlüsselung liegt immer in der Hand der Nutzerinnen und Nutzer selbst, da niemand außer ihnen Zugang zu den privaten Schlüsseln haben darf. Wir raten, Ende-zu-Ende-Verschlüsselung mit einer starken providerseitigen Transportwegverschlüsselung zu kombinieren.

Material für Presseberichterstattung

Posteo-Pressemittelung 07.12.2016, Foto 1, Foto 2, Foto 3, Foto 4, Foto 5, Foto 6

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,

wir haben eine neue Funktion für Sie freigeschaltet: Unser Webmailer zeigt nun an, an welche Kontakte Sie E-Mails bestmöglich abgesichert mit DANE versenden. Sie erkennen dies an einem kleinen, grünen DANE-Symbol über einer E-Mail-Adresse.



Für uns ist die neue DANE-Anzeige etwas ganz Besonderes. Denn als wir im Mai 2014 die neue Sicherheitstechnologie eingeführt hatten, war Posteo laut heise.de offenbar noch der einzige Anbieter weltweit, der DANE unterstützt. Und viele IT-Experten waren damals skeptisch, ob sich die neue Technologie durchsetzen kann. Inzwischen hat sich das geändert und es lohnt sich bereits anzuzeigen, ob andere Server DANE unterstützen: Wir übermitteln E-Mails an viele E-Mail-Server weltweit standardmäßig mit DANE, unter anderem auch an große deutsche Anbieter wie 1&1 (u.a. GMX und web.de). #more#

Die Technologie setzt sich aus gutem Grund durch: DANE eliminiert verschiedene Schwachstellen der zwischen E-Mailservern weit verbreiteten Transportwegverschlüsselung STARTTLS – und erhöht die Sicherheit beim verschlüsselten E-Mail-Transport. Ohne DANE wird eine Verschlüsselung zum Beispiel nicht “erzwungen”, sondern bei jeder einzelnen Verbindung zwischen den beteiligten E-Mailservern neu ausgehandelt. Mit DANE müssen die miteinander kommunizierenden E-Mailserver jede Verbindung zwingend verschlüsseln. Kommt es zu Störungen bei der Verschlüsselung oder ist die Kommunikation einem Angriff ausgesetzt, wird die E-Mail nicht versendet. DANE-fähige Server führen vor dem Übermitteln von E-Mails außerdem eine Überprüfung ihrer Sicherheitszertifikate durch – ähnlich einer Ausweiskontrolle. So stellen sie sicher, dass der andere Server auch tatsächlich “das echte Ziel” der Kommunikation ist und kein so genannter “Man in the Middle”, der sich dazwischen geschaltet hat. Mit DANE kann ein verschlüsselter Versand vorab sicher zugesagt werden. Und deswegen bieten wir eine DANE-Anzeige in unserem Webmailer an. Zusammengefasst bedeutet die neue Anzeige für Sie: Sehen Sie dieses Symbol, wird Ihre E-Mail an diesen Empfänger garantiert mit DANE übertragen. Sie wird erstens über einen verschlüsselten Transportweg und zweitens an den tatsächlichen Empfänger-Server gesendet.

Tipp: TLS-Versand-Garantie schützt Sie auch bei Servern ohne DANE

Wird Ihnen das DANE-Symbol bei einer Adresse nicht angezeigt, unterstützt der Empfänger-Server DANE bisher nicht.
Beispiele für große Anbieter, die DANE bisher nicht unterstützen, sind z.B. Gmail oder Yahoo.
Diese unterstützen zwar verschlüsselte Verbindungen zwischen E-Mailservern. Aber: Ohne DANE kann es bei Störungen oder Angriffen, wie oben beschrieben, dennoch zu unverschlüsselten Verbindungen kommen. Und zwar bei jeder einzelnen E-Mail neu. Deshalb kann ohne DANE keine seriöse Aussage über die Sicherheit einer Verbindung zwischen zwei Mailservern gemacht werden.

Hierzu haben wir einen wichtigen Tipp: Bei Posteo können Sie einen Versand ohne TLS grundsätzlich ausschließen.

Aktivieren Sie Ihre persönliche TLS-Versand-Garantie in den Postfach-Einstellungen.

Sie stellt sicher, dass die Transportwege Ihrer E-Mails auch an E-Mailserver ohne DANE garantiert mit TLS verschlüsselt werden. Aktivieren Sie Ihre TLS-Versand-Garantie, versenden wir Ihre E-Mails nur dann, wenn eine Nachricht verschlüsselt ausgeliefert werden kann. Ist ein sicherer Versand über eine verschlüsselte Verbindung nicht möglich, wird die Übertragung der E-Mail gestoppt- und Sie erhalten eine Benachrichtigung von uns. Sollten unbefugte Dritte also eine sichere Verbindung angreifen und den Rückfall auf eine unverschlüsselte Verbindung erzwingen möchten, wird der Versand abgebrochen.

Viele Grüße
Ihr Posteo-Team


Lesetipp: Warum gibt es bei Posteo eine DANE-Anzeige – und keine TLS-Anzeige?

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,

wir haben heute eine wichtige neue Funktion für Sie freigegeben: Unsere TLS-Versand-Garantie. Die neue Sicherheitsfunktion schützt Sie davor, E-Mails an unsichere Systeme zu versenden. Sie können die Funktion ab sofort in Ihren Einstellungen aktivieren.

E-Mails müssen sicher über verschlüsselte Verbindungen übertragen werden, damit Kriminelle und Geheimdienste nicht unbefugt mitlesen können. Drei Jahre nach dem NSA-Skandal ist die Verschlüsselung von Transportwegen (TLS) deshalb alltäglich geworden: Alle großen E-Maildienste haben sie inzwischen auf ihren Systemen aktiviert. Doch wie sieht es bei E-Mailsystemen aus, an die Sie im Alltag oder im Berufsleben häufig Nachrichten verschicken? Für Anwender ist vor dem Absenden einer E-Mail nicht ersichtlich, ob die E-Mailsysteme ihrer Geschäftspartner, Ärzte, Vereine oder Schulen sichere Verbindungen unterstützen.
Unsere Systeme hingegen erkennen dies. Denn Posteo versucht vor jedem einzelnen E-Mailversand, mit dem anderen E-Mailserver eine verschlüsselte Verbindung aufzubauen – und so einen sicheren Versand zu erreichen.

Ist kein sicherer Versand möglich, wird die Übertragung gestoppt
Genau hier setzt unsere neue TLS-Versand-Garantie an: Aktivieren Sie die Sicherheitsfunktion, versenden wir Ihre E-Mails nur dann, wenn eine Nachricht sicher an den Empfänger ausgeliefert werden kann. Ist ein sicherer Versand über eine verschlüsselte Verbindung nicht möglich, wird die Übertragung der E-Mail gestoppt- und Sie erhalten eine Benachrichtigung von uns. Der Versand wird auch gestoppt, wenn unbefugte Dritte eine sichere Verbindung angreifen und den Rückfall auf eine unverschlüsselte Verbindung erzwingen möchten.

Benachrichtigen wir Sie über einen gestoppten Versand, können Sie übrigens selbst entscheiden, ob Sie Ihre Nachricht trotzdem an das unsichere E-Mailsystem senden möchten. In diesem Fall können Sie die TLS-Versand-Garantie kurzzeitig deaktivieren und Ihre Nachricht ausnahmsweise ohne TLS versenden.
Wir haben die neue Funktion so praxisnah wie möglich konzipiert: Ob Sie Ihre E-Mails mit Ihrem Smartphone, im Webmailer oder in lokalen Programmen wie Outlook oder Thunderbird verwalten, spielt keine Rolle. Jeder E-Mailversand durchläuft die TLS-Sicherheits-Prüfung. Sollten Sie einmal eine E-Mail an mehrere Empfänger versenden, wird der Versand nur an diejenigen Empfänger gestoppt, denen die E-Mail nicht sicher übermittelt werden kann. Sie werden im Anschluss von uns per E-Mail informiert, welche Empfänger vom Versandstopp betroffen waren.

#more#
Erneute Sicherheitsprüfung vor jedem E-Mail-Versand
Die neue Funktion verschafft Ihnen mehr Klarheit: Sie erfahren stets, wie es aktuell um die Kommunikations-Sicherheit ihrer Kontakte bestellt ist. Aus Sicherheitsgründen wird nämlich auch bei bereits bekannten Empfängern vor jedem Versand eine erneute TLS-Überprüfung durchgeführt. So stellen wir sicher, dass Ihre E-Mails auch dann nicht unsicher versendet werden, wenn ein Server einmal kurzzeitig nicht TLS-fähig sein sollte – zum Beispiel aufgrund technischer Probleme oder eines Angriffs .

Sie können Ihre TLS-Versand-Garantie ab sofort in den Einstellungen Ihres Posteo-Postfachs unter “Einstellungen → Mein Konto → Transportwegverschlüsselung” aktivieren.
In unserer Hilfe haben wir für Sie einen Artikel zur neuen TLS-Versand-Garantie bereitgestellt. Dort erfahren Sie, wie Sie die Funktion aktivieren und deaktivieren – und wie Sie vorgehen können, wenn der Versand einer E-Mail an einen unsicheren E-Mailserver gestoppt wurde.

Zusatz-Infos für IT-Profis:
- Die TLS-Versand-Garantie verhindert Downgrade-Attacken, die einen Rückfall auf unverschlüsselte Verbindungen zum Ziel haben.
- Veraltete und unsichere Verschlüsselungsprotokolle wie SSLv3 oder RC4 werden nicht toleriert: Sie bewirken ebenfalls einen Versandstopp.
- Man-in the-Middle-Attacken werden erschwert und immer dann verhindert, wenn der Empfänger-Server wie Posteo ebenfalls DANE verwendet.

Mehr über die Verschlüsselung bei Posteo
Die Transportwegverschlüsselung ist ein Baustein unseres innovativen Verschlüsselungskonzeptes. Lernen Sie auf unserer Infoseite-Verschlüsselung auch unsere anderen Funktionen kennen: Dort erfahren Sie zum Beispiel, wie Sie alle gespeicherten Daten komfortabel auf Knopfdruck verschlüsseln können (Krypto-Mailspeicher, Adressbuch- und Kalenderverschlüsselung). Außerdem informieren wir darüber, wie wir alle Zugriffe und sensiblen Daten verschlüsseln – und stellen unsere Funktionen aus dem Bereich der Ende-zu-Ende-Verschlüsselung (Schlüsselverzeichnis, PGP im Webmailer etc.) vor.


Viele Grüße
Ihr Posteo-Team

Liebe Kundinnen und Kunden,
liebe Interessierte

wir möchten Sie über einige neue Sicherheitstechnologien bei Posteo informieren. Wir haben damit begonnen, die Technologie “Certificate Transparency” zu unterstützen. Außerdem setzen wir seit einigen Wochen die sehr neuen Technologien “Certification Authority Authorization (CAA)” und “HTTP Public Key Pinning (HPKP)” ein. Mit diesen Technologien erhöhen wir die Sicherheit bei Posteo noch einmal für Sie.

Für Sie ändert sich im Alltag nichts – und Sie müssen nichts tun. Wir möchten Ihnen in diesem Beitrag nur einen Einblick verschaffen, wie wir Ihre Daten bei Posteo mit diesen neuen Technologien schützen.

Certificate Transparency: Keine Chance für Fälscher von Sicherheitszertifikaten

Mit Certificate Transparency überwachen wir automatisiert weltweit, ob ein unbefugter Dritter (Kriminelle oder Geheimdienste) versucht, sich als Posteo auszugeben – und Zertifikate unserer Posteo-Domains zu fälschen. Es war auch bisher schon sehr unwahrscheinlich, dass eine Zertifizierungsstelle Unbefugten tatsächlich fälschlicherweise bescheinigt, Posteo zu sein. Denn wir nutzen bereits seit vielen Jahren ein so genanntes erweitertes Sicherheitszertifikat (EV-Zertifikat). Und solche Zertifikate werden nur nach Vorlage diverser Unterlagen ausgestellt. Kriminelle und Geheimdienste versuchen aber durchaus, über gefälschte Zertifikate eine andere Identität vorzugeben. Zum Beispiel, um Kunden von Internetdiensten auf gefälschte Phishing-Seiten zu locken und dort ihre Login-Daten abzugreifen. Oder, um sich als “Man-in-the-Middle” in einen Kommunikationsvorgang einzuschalten.

Mit der neuen Technologie werten wir 24 Stunden am Tag nahezu in Echtzeit aus, ob jemand versucht, unsere Zertifikate zu manipulieren und können deshalb sofort reagieren – idealerweise noch bevor ein Angreifer einen Betrugsversuch ausführen kann. Man muss nicht mehr auf die Sorgfalt der Zertifizierungsstellen (CA) beim Ausstellen von Zertifikaten vertrauen: Denn mit der neuen Technologie können Internetdienste wie Posteo nun selbst überprüfen, ob eine Zertifizierungsstelle einem Unbefugten fälschlicherweise ein Zertifikat ausgestellt hat.

Neues Zertifikat im Zuge der Umstellungen

Um die neuen Sicherheitstechnologien unterstützen zu können, werden wir im April damit beginnen, ein weiteres Zertifikat von Geotrust einzusetzen. Diese Zertifizierungsstelle unterstützt bereits die neuen Technologien. Interessierte finden die Fingerprints aller Zertifikate (eine Zeichenfolge, mit der ein Zertifikat als “echt” identifiziert werden kann) ab sofort in unserem Impressum. Alle Programme wie Thunderbird oder Outlook finden das neue Zertifikat automatisch. Sie müssen nichts tun. Sollte Ihr Programm während des Umstellungsprozesses dennoch einen Zertifikatefehler melden, starten Sie Ihr Programm bitte einmal neu – dies sollte den Fehler beheben.
#more#
Neue Sicherheitstechnologie Certification Authority Authorization (CAA) bereits seit einigen Wochen im Einsatz

Eine weitere neue Sicherheitstechnologie im Zusammenhang mit Zertifikaten setzen wir bereits seit einigen Wochen ein:
Certification Authority Authorization (CAA). CAA ist eine sehr neue, bisher noch nicht verbreitete Technik. Mit der neuen Technologie haben wir im DNS, dem zentralen Abfrage-Register im Internet, die Information hinterlegt, welche Zertifizierungsstellen berechtigt sind, für unsere Domains Zertifikate auszustellen. Diese Technik ist noch sehr neu, deshalb gibt es für die Zertifizierungsstellen noch keine Verpflichtung, sich daran zu halten. Wir sind aber der Auffassung, dass diese Einträge dennoch schon jetzt sinnvoll sind: Wir wollen zeigen, was heute technisch möglich ist und hoffen, dass schon bald viele Telekommunikationsanbieter und Zertifizierungsstellen CAA nutzen. Die Technologie kann die Internetnutzung insgesamt sicherer machen – und das Risiko gefälschter Zertifikate weiter minimieren.

Deutsche Zertifizierer mit Certificate Transparency noch nicht praxistauglich

Derzeit ist es für E-Maildienste wie Posteo noch unmöglich, Zertifikate deutscher Zertifizierungsstellen als Haupt-Zertifikat in der Praxis einzusetzen.
So kennen einige weit verbreitete Geräte und Programme deutsche Anbieter wie D-Trust bzw. die Bundesdruckerei (noch) nicht. Setzt ein E-Maildienst dennoch ein Zertifikat einer solchen “unbekannten” Zertifizierungsstelle ein, kommt es deshalb bei einer großen Kundenanzahl zu ständig wiederkehrenden Fehlermeldungen. Die Programme melden, dass den eingesetzten Zertifikaten nicht vertraut wird. Auch bei der Unterstützung neuer Sicherheitstechnologien sieht es nicht gut aus: Das Telekom Trust Center (TeleSec), die Zertifizierungsstelle der Deutschen Telekom AG, hat z.B.- laut Angaben uns gegenüber- keine Pläne, Certificate Transparency zu unterstützen. Diese bestehenden Probleme mit deutschen Zertifizierern werden sich – wenn überhaupt – erst im Laufe der kommenden Jahre bessern. Voraussetzung hierfür ist zum Beispiel, dass die deutschen Zertifizierer dafür sorgen, dass ihre so genannten Root-Zertifikate in allen Geräten und Programmen der neueren Generationen als vertrauenswürdig erkannt werden.

Zusatz-Information für Profis: Weitere Zertifikat-Sicherheitstechnologien bei Posteo

- Wir nutzen pro abgesicherter Domain immer mindestens zwei Extended-Validation-Zertifikate gleichberechtigt. Falls es einmal Probleme mit einer Zertifizierungsstelle geben sollte, können wir umgehend auf das andere Zertifikat wechseln, ohne dass es zu Beeinträchtigungen für unsere Kundinnen und Kunden kommt.
- Wir nutzen HPKP (HTTP Public Key Pinning), um Browser zu zwingen, nur unsere Zertifikate zu akzeptieren.
- Wir nutzen DANE, damit andere E-Mailserver, Browser und Programme unsere Zertifikate über eine fälschungssichere DNS-Abfrage überprüfen können.

Viele Grüße
Ihr Posteo-Team

Liebe Kundinnen und Kunden,

wir setzen ab jetzt auch unser zweites, erweitertes Sicherheitszertifikat ein.

Solche beglaubigten, “grünen Sicherheitszertifikate” werden vor allem von Unternehmen eingesetzt, die mit sensiblen Daten umgehen, z.B. von Banken. Sie können es links von unserer Webadresse https://posteo.de in Ihrem Browser einsehen (meist ein grün hinterlegtes Schlüsselsymbol). So können Sie stets auf einen Blick erkennen, dass Sie tatsächlich auf der Website von Posteo sind – und nicht etwa auf einer Phishing-Site. Wenn Sie ein lokales E-Mailprogramm verwenden, überprüft dieses außerdem vor einem verschlüsselten Verbindungsaufbau zu Posteo das Sicherheitszertifikat – und somit die Echtheit des Verschlüsselungspartners. Hierfür nutzen E-Mailprovider Zertifizierungsstellen: Sie bestätigen die Echtheit eines Sicherheitszertifikats, bevor eine verschlüsselte Verbindung aufgebaut wird. OCSP ist eine zusätzliche Sicherheitsmaßnahme: Ein OCSP-Server bestätigt, dass ein Zertifikat nicht widerrufen wurde.

Darum verwenden wir ein zweites Zertifikat
Und hier liegt auch der Grund für den zusätzlichen Einsatz des zweiten Zertifikates: Die OSCP-Server der Zertifizierungsstelle StartCom waren in den vergangenen Tagen nicht zuverlässig erreichbar. Dies führte in Einzelfällen zu Beeinträchtigungen mit Programmen, die OCSP zusätzlich prüfen – wie z.B. Thunderbird und Firefox. Wir wissen, dass einige unserer Kunden beim Aufruf unserer Website oder bei der Arbeit mit lokalen E-Mailprogrammen deshalb einen Fehler gemeldet bekamen. Bei Posteo selbst lag zu keinem Zeitpunkt eine Störung vor und die Sicherheit Ihrer Verbindungen waren zu keinem Zeitpunkt beeinträchtigt. Da es für uns jedoch völlig inakzeptabel ist, dass eine Störung bei einer einzelnen Zertifizierungsstelle wiederholt einige unserer Kunden beeinträchtigt, verwenden wir ab sofort auch ein von der Bundesdruckerei beglaubigtes Zertifikat, das wir bereits vor einiger Zeit als Zweit-Zertifikat erstellt hatten. #more#

Was eine Zertifizierungsstelle tut
E-Mailprovider nutzen Zertifizierungsstellen, um die Echtheit ihres Sicherheitszertifikats zu bestätigen, bevor eine verschlüsselte Verbindung aufgebaut wird. Ein Zertifizierer beglaubigt außerdem den öffentlichen Schlüssel des SSL-Zertifikats eines Providers. Ähnlich wie ein Notar: Nach der Prüfung zahlreicher Unterlagen (u.a. Handelsregisterauszug, Personalausweise, Anrufe bei uns und unseren Anwälten etc.) bestätigt die Zertifizierungsstelle, dass der öffentliche Schlüssel wirklich zum Provider, in unserem Fall also zu Posteo e.K., gehört. Die Zertifizierungsstelle erstellt unser Zertifikat bzw. unser Schlüsselpaar jedoch nicht – das tun wir selbst. Deshalb kann sie die Schlüssel auch nicht manipulieren oder austauschen.

Unser neues, von der Bundesdruckerei beglaubigtes Zertifikat entspricht den aktuellen Sicherheits-Standards und wurde mit dem SHA-256-Algorithmus signiert.

Falls Ihr Browser, Ihr Mailprogramm, Smartphone oder Tablet nach der Umstellung eine Fehlermeldung wegen eines ungültigen Zertifikates produzieren sollte, liegt dies nicht an einem Angriff oder einem Fehler. Ihr Programm hat dann lediglich noch das alte Zertifikat zwischengespeichert. Abhilfe sollte in den meisten Fällen ein Neustart des Programms oder Gerätes bringen.

Die “elektronischen Fingerabdrücke” unseres neuen Sicherheitszertifikates lauten:
SHA256: 6A:B1:9D:FB:FB:10:2E:D8:89:01:76:8C:B1:6B:61:13:A1:E3:B6:A5:47:D6:85:A3:FD:08:7F:11:DA:35:77:E7
SHA1: 8D:D7:97:B4:45:79:4D:EC:64:AE:D1:90:88:AC:B4:F4:5A:21:EA:6A
MD5: DA:CC:03:04:8C:E8:03:54:4F:6B:B2:2E:C2:ED:94:D8

Sie finden die Fingerabdrücke beider Zertifikate auch in unserem Impressum. Diese Information ist nur für Nutzer relevant, die unsere Zertifikate manuell abgleichen.

Sollte ein von Ihnen verwendetes Programm oder System das Root-Zertifikat der Bundesdruckerei nicht vorinstalliert haben und der Verbindung zu Posteo deshalb nicht trauen, können Sie es nachinstallieren. Sie finden es zum Download auf der Webseite der Bundesdruckerei. Dort finden Sie auf der Downloadseite auch den Fingerprint des Root-Zertifikats “D-TRUST Root Class 3 CA 2 EV 2009”, den wir zum Vergleich auch hier veröffentlichen:
SHA-256 EE:C5:49:6B:98:8C:E9:86:25:B9:34:09:2E:EC:29:08:BE:D0:B0:F3:16:C2:D4:73:0C:84:EA:F1:F3:D3:48:81
SHA-1 96:C9:1B:0B:95:B4:10:98:42:FA:D0:D8:22:79:FE:60:FA:B9:16:83

Die Posteo-Domains, die wir mit dem SSL-Zertifikat verwenden, sind in unserem Besitz. Die Einträge unseres Nameservers im DNS sind auch zusätzlich mit DNSSEC abgesichert, um Manipulationen auszuschliessen. Und durch DANE können die Fingerprints unseres Schlüssels zweifelsfrei von jedem überprüft werden.

Auch, wenn wir keinen Einfluss auf die Beeinträchtigungen durch die Störung bei der Zertifizierungsstelle hatten, möchten wir Sie um Entschuldigung bitten, falls Sie von diesem ärgerlichen Fehler betroffen waren.

Viele Grüße
Ihr Posteo-Team