Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[Ervaringen] S/MIME voor veiligere e-mail

Pagina: 1
Acties:

zaterdag 8 februari 2014 20:46

Acties:
  • Ulster Seedling
  • Registratie: December 2007
  • Laatst online: 28-11 22:20

Ulster Seedling

“Middelgrote appel”

Topicstarter
Met S/MIME kan je uitgaande e-mailberichten ondertekenen of versleutelen. In het eerste geval, met ondertekening, blijft je e-mailbericht gewoon een normaal leesbaar bericht, maar wordt er (in de bron) wat toegevoegd. Daardoor kan de ontvanger verifiëren dat het bericht daadwerkelijk van jou afkomstig is. In het tweede geval, met versleuteling, wordt het bericht compleet versleuteld en kan het enkel door de ontvanger gelezen worden. Hierdoor kan het bericht (in theorie) onderweg niet gelezen worden (door mailservers of veiligheidsdiensten bijvoorbeeld). Hiervoor moet de ontvanger ook S/MIME hebben.

Om berichten met S/MIME te versturen heb je een certificaat nodig. Comodo en StartCom delen deze certificaten gratis uit. Betaalde/zakelijke certificaten zijn voor minder dan € 15 per jaar te krijgen.

De ondersteuning voor S/MIME wordt steeds beter. Outlook, Thunderbird, Mail.app, en iOS ondersteunen S/MIME allemaal standaard. Helaas zijn er nog steeds veel applicaties/diensten die geen ondersteuning bieden. Hierbij valt te denken aan Gmail/Hotmail, waar veel gebruik van wordt gemaakt.

Het grote nadeel (wat ik zie), is dat ontvangers zonder S/MIME-ondersteuning een vreemde bijlage zien (smime.p7s). Dat bestand bevat je publieke sleutel, die nodig is voor de werking van S/MIME. Bijvoorbeeld Gmail-gebruikers zullen dus bij alle berichten die je (ondertekend) verstuurt, deze bijlage zien. Om deze reden ben ik zelf erg terughoudend met het uitproberen van S/MIME.

Ik ben benieuwd of jullie S/MIME gebruiken of gebruikt hebben, en wat jullie ervaringen hiermee zijn. Hopelijk kan dit anderen (incl. mijzelf) helpen een afweging te maken tussen over het in gebruik nemen van S/MIME.

“(…) met een rode blos op een geelgroene ondergrond.” Volgens Wikipedia tenminste.

vrijdag 14 februari 2014 19:56

Acties:
  • Miyamoto
  • Registratie: Februari 2009
  • Laatst online: 20:49

Miyamoto

Zoals je zelf aangeeft faalt het volgens mij wanneer er geen 99% ondersteuning is. Zelf maak ik gebruik van Gmail (& Google Apps) en ken maar één instantie die met S/MIME mailt: de partij waar ik mijn SSL certificaten koop. Ik zie dat ze er op hun eigen website met geen woord over reppen, alleen over de brede ondersteuning bij "de meeste e-mailpakketten, zoals Microsoft Outlook". :+

Voor privé doeleinden vind ik het niet nodig. Zakelijk is het ondertekenen aardig, maar niet waterdicht voor alle web-clients. Versleutelen kun je dus sowieso niet.

Een groot deel van de problemen (valse e-mails) zouden kunnen worden tegengegaan als iedereen z'n mailserver wat beter in zou stellen: Schrikbarend hoeveel instanties hun SPF records niet eens op orde hebben. Laat staan DKIM of DMARC.

donderdag 6 maart 2014 00:16

Acties:
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 28-11 14:19

CAPSLOCK2000

zie teletekst pagina 888

Ik gebruik S/MIME en/of PGP. Eigenlijk geef ik de voorkeur aan PGP en dat wordt in mijn omgeving ook intensief gebruikt maar voor Outlook-gebruikers schijnt PGP maar vervelend te zijn terwijl S/MIME out-of-the-box werkt. Als ik met Outlook-gebruikers communiceer kies ik dus voor S/MIME. Het voordeel van S/MIME boven PGP is dat je geen sleutels hoeft uit te wisselen. Het nadeel is dat je wel je CA moet vertrouwen. Nu vertrouw ik de grote CA's op zich wel, maar principieel heb ik liever een systeem waarbij ik niet hoef te vertrouwen op een derde partij, PGP dus.

Er zijn overigens browserplugins te krijgen om S/MIME (en PGP) toe te voegen aan webmail, zodat je het ook via (bv) GMail kan gebruiken.

Overigens vind ik dat (prive)communicatie eigenlijk altijd versleuteld zou moeten zijn, zeker e-mail. Een mailtje gaat via zoveel servers en er zijn zoveel manieren waarop anderen per ongeluk of met opzet jouw mail kunnen lezen dat ik vind dat encryptie de standaard zou moeten zijn. Dan hoef je niet voortdurend na te denken of de tekst die je schrijft vertrouwelijk is of niet en kun ook niet meer vergeten om het encryptie-vinkje aan te zetten.

Over extra attachments maak ik me geen zorgen. Jan en alleman vindt het ook nodig om een foto of een leuk achtergrondje mee te mailen, dan mag mijn functionele attachment ook wel.

This post is warranted for the full amount you paid me for it.

vrijdag 7 maart 2014 21:41

Acties:
  • ebia
  • Registratie: Maart 2007
  • Laatst online: 25-11 13:15

ebia

CAPSLOCK2000 schreef op donderdag 06 maart 2014 @ 00:16:
Het voordeel van S/MIME boven PGP is dat je geen sleutels hoeft uit te wisselen. Het nadeel is dat je wel je CA moet vertrouwen. Nu vertrouw ik de grote CA's op zich wel, maar principieel heb ik liever een systeem waarbij ik niet hoef te vertrouwen op een derde partij, PGP dus.
Maar bij PGP moet je zelf die vetrouwensrelaties aangaan. Een keyserver kan daarbij wat helpen, maar dan alsnog kun je maar moeilijk vaststellen of de persoon die hij claimt te zijn ook echt die persoon is. Tenzij heel veel mensen die keys weer gesigned hebben, maar dat gebeurt in de praktijk helaas erg weinig. En zelfs dat kan men veinzen.

In principe zou een CA die twijfel moeten wegnemen door de identiteitsclaim van iemand te controleren. S/MIME is dus in principe handiger voor twee partijen die elkaar niet goed kennen om 'spontaan' secure te gaan communiceren. PGP gebruik je meestal alleen met personen of partijen die je echt kent en dus vertrouwd.

donderdag 13 maart 2014 10:14

Acties:
  • Ploink
  • Registratie: April 2002
  • Laatst online: 21-08 13:05

Ploink

De certificaten van Startcom gebruik ik al jaren, werkt goed met thunderbird. Ik haal hier ook mijn gratis SSL certificaten voor mail/web server.

De trust level is laag, class1. Ze sturen alleen een verificatie code per email om te bewijzen dat jij de email kan lezen. Het certificaat kan dus alleen maar aantonen dat de email daadwerkelijk van dat adres verzonden is, het bewijst niet wie je bent. Voor een hogere class moet je betalen.
Voor een SSL server cert moet je postmaster, webmaster of hostmaster@yourdomain.tld kunnen ontvangen.

Ik stuur standaard email met digitale handtekening, gewoon omdat het betrouwbaar overkomt. Het staat ook professioneel als je een bedrijf hebt.
Voor encryptie heb je de public key van de ontvanger nodig en aangezien bijna niemand s/mime gebruikt, doe ik dat zeer zelden.
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq