web2 logo

Artikel Links Notities

S/MIME E-mail met certificaat

E-mail digitaal ondertekenen

E-mails kun je via S/MIME (Secure/Multipurpose Internet Mail Extensions) digitaal ondertekenen met een certificaat. S/MIME handtekeningen worden meestal afzonderlijk van de ondertekende tekst meegestuurd in de vorm van een multipart/signed MIME type waarbij het tweede deel een MIME subtype application/(x-)pkcs7-signature heeft. Een via S/MIME ondetekende e-mail geeft aan de ontvanger aan dat deze echt van jou komt en dat de inhoud niet is gewijzigd, maar dat de inhoud gelijk is aan hoe jij deze hebt verzonden. Je hebt voor S/MIME een certificaat nodig. Zo'n certificaat kost meestal geld. Er is een certificaatverstrekker (certificate authority (CA)) in Italië (Actalis.it) die momenteel nog gratis certificaten verstrekt die een jaar geldig zijn. Je moet per email-adres een certificaat hebben en dat installeren op elk systeem waar je digitaal ondertekende e-mail wilt verzenden via dat e-mailadres. Als je bij Actalis.it een certificaat aanvraagt, dan krijg je 2 emails: de eerste met je wachtwoord en de tweede met het certificaat (.pfx-bestand) in een .zip bestand. De e-mails zijn in het Italiaans, maar als je naar beneden scrollt, dan zie dat er ook een Engelse vertaling in staat.

mail Italiaans

De mails voor de aanvraag van een certificaat voor een hotmail-adres kwamen bij mij in Outlook in het spamvak terecht.

Certificaat installeren

Als je het zip-bestand uitpakt, dan kun je op het certificaat (.pfx-bestand) klikken om het te installeren.

In Windows: gebruik de Wizard

Installeer het certificaat in Windows als een Persoonlijk certificaat.

wizard

wizard

wizard

wizard

wizard

Als je in Windows certmgr start, dan kun je zien dat het certificaat is geinstalleerd inclusief de bovenliggende certificaten.

certmgr

In Linux: gebruik Kleopatra

In Linux kun je Kleopatra gebruiken om het certificaat te installeren. (Kleopatra is overigens ook beschikbaar voor Windows en komt mee als je Gpg4win installeert in Windows.)

Kleopatra

Certificaat instellen in e-mail programma

Als het certificaat op je systeem geinstalleerd staat, dan moet je het certificaat in je e-mailprogramma instellen. Hoe je dit instelt verschilt per e-mailprogramma/systeem. Je kunt het S/MIME certificaat niet alleen gebruiken voor de ondertekening van e-mails, maar je kunt ze er ook mee versleutelen. Dat versleutelen klinkt misschien veilig, maar dat is het niet altijd, want als iemand je een e-mail stuurt met als bijlage malware, dan zal je virusscanner die inkomende e-mails scant dit niet zien omdat ook de bijlage versleuteld is. Je zult e-mail bijlagen dan apart moeten controleren.

Thunderbird

In Thunderbird kom je er via: Accountinstellingen, Identiteiten beheren, knop: Bewerken, tab: End-to-end-versleuteling, scrollen naar: S/MIME, certificaat selecteren, vinkje bij: Mijn digitale handtekening standaard toevoegen.

Outlook (Office365)

In Outlook (Office365) zit het onder Opties, vertrouwenscentrum, Instellingen voor het vertrouwenscentrum, E-mailbeveiliging, knop Instellingen.

Vertrouwenscentrum

Belangrijk! Hier moet je even opletten: het hash-algoritme moet je instellen op SHA256, standaard geeft Outlook SHA1 aan, dit moet je dus aanpassen.

beveiligingsinstellingen wijzigen

Webmail-clients

Webmail-clients ondersteunen geen S/MIME. Op de website van Microsoft is onder andere te lezen:

S/MIME is enabled for Exchange accounts (on-premises and Office 365). Users can't use S/MIME signing and encryption with a personal account such as Outlook.com.
Als je via een Gmail-account e-mail wilt versturen met S/MIME, dan moet je dat account gebruiken vanuit een e-mailprogramma zoals Outlook of Thunderbird, want via de website wordt S/MIME niet ondersteund.

KMail (Linux)

In KMail (Linux) ga je naar Instellingen, KMail instellen, Identiteiten, knop Wijzigen, tab Cryptografie, en selecteer je certificaat bij S/MIME ondertekeningscertificaat.

Wat e-mail clients laten zien van de digitale ondertekening

Zichtbaarheid ondertekening in Gmail:

Gmail

Zichtbaarheid in KMail:

KMail

Zichtbaarheid in Outlook app:

Outlook app

Zichtbaarheid in Outlook van Office365:

Outlook Office365

Zichtbaarheid in Outlook webpagina:

Outlook web

Zichtbaarheid in Thunderbird:

Thunderbird

naar boven

term zoeken

Notitieruimte