Um den privaten Schlüssel zu schützen müssen Sie für den Zertifikatsspeicher (Keystore) des Thunderbirds ein Hauptpasswort (Master-Passwort) setzen. Es ist sehr empfehlenswert, für die Verwaltung von Passwörtern einen Passwortmanager zu verwenden.

• Thunderbird-Menü "Extras" (Windows) bzw. "Bearbeiten" (Linux) bzw. "Thunderbird" (Mac) bzw. "Hamburger-Icon (drei waagrechte Striche)" (je nach Thunderbird-Variante und Konfiguration)
• Untermenü "Einstellungen"
• Punkt "Datenschutz & Sicherheit" (siehe (A) in der nächsten Abbildung)
• Abschnitt "Passwörter"
• Stellen Sie sicher, dass "[v] Hauptpasswort verwenden" aktiviert ist (siehe (B) in der nächsten Abbildung). Wenn dies noch nicht aktiviert war, müssen Sie beim Aktivieren das Passwort neu setzten (Einsatz eines Passwortmanagers sehr zu empfehlen). Durch das Hauptpasswort wird Ihr privater Schlüssel im Thunderbird-Keystore geschützt.

Wenn Sie Zertifikate einsetzen, müssen Sie von Zeit zu Zeit mit der Zertifikatsverwaltung von Thunderbird arbeiten. So finden Sie die Zertifikatsverwaltung:

• Thunderbird-Menü "Extras" (Windows) bzw. "Bearbeiten" (Linux) bzw. "Thunderbird" (Mac) bzw. "Hamburger-Icon" (je nach Thunderbird-Variante und Konfiguration)
• Untermenü "Einstellungen"
• Punkt "Datenschutz & Sicherheit" (siehe (1) in der nächsten Abbildung)
• Abschnitt "Zertifikate" (weiter unten auf der Seite "Datenschutz & Sicherheit")
• Button "Zertifikate verwalten" (siehe (2) in der nächsten Abbildung) => dies öffnet ein neues Fenster mit der Zertifikatsverwaltung

Bitte löschen Sie in keinem Fall alte Nutzerzertifikate. Andernfalls verlieren Sie den Zugriff auf E-Mails, die an Sie mit dem alten Zertifikat verschlüsselt geschickt wurden.

Bitte beachten Sie, dass Sie nach dem Import das neue Nutzerzertifikat Ihrem E-Mail Account zuordnen müssen. Das Vorgehen dafür wird im nächsten Abschnitt beschrieben und ist auch erforderlich, wenn Sie einen Update für ein Nutzerzertifikat importieren.

• Öffnen Sie die Thunderbird-Zertifikatsverwaltung (siehe vorheriger Abschnitt)
• Tab "Ihre/Meine Zertifikate" (siehe (3) in der nächsten Abbildung)
• Button "Importieren" (siehe (4))
• Suchen Sie das Nutzerzertifikat (Datei mit Endung ".p12") auf der Festplatte und importieren Sie es. Beim Import werden Sie zunächst nach dem Passwort der p12-Datei und dann nach dem Thunderbird Keystore-Passwort gefragt (es ist sehr empfehlenswert, für die Passwörter einen Passwort-Manager zu verwenden). Nach dem erfolgreichen Import sollte nun Ihr neues Zertifikat unter "Ihre/Meine Zertifikate" zu sehen sein (5).
• Wählen Sie Ihr Zertifikat aus (5) - es ist dann dunkel-grau (Thunderbird 115) bzw. blau (Thunderbird 102) hinterlegt.
• Button "Ansehen" (6) - es öffnet sich ein neuer Thunderbird-Tab "Zertifikat für IHR NAME" mit den Zertifikat-Details (7).
• Test 1: Prüfen Sie, dass die vollständige Zertifikatskette angezeigt wird (siehe (8) in der folgenden Abbildung). Die hier gemachten Angaben gelten für Zertifikate von Sectigo (ab September 2023). Die folgenden Tabs sollten vorhanden sein: "Ihr Name", "Geant Personal CA 4" und "USERTrust RSA Certification Authority". Wenn einer der Tabs fehlt, dann gibt es ein Problem mit der Zertifikatskette. Hinweis: Wenn Sie ein altes Zertifikat des DFN-Vereins prüfen (Ausstelldatum bis August 2023), dann wird für dieses Zertifikat die folgende Zertifikatskette angezeigt: "Ihr Name", "DFN-Verein Global Issuing CA", "DFN Certification Authority 2", "T-TeleSec GlobalRoot Class 2".
• Test 2: Scrollen Sie auf der Seite Ihres Zertifikats nach unten bis Sie die Abschnitte "Schlüsselverwendung" und "Erweiterte Schlüsselverwendung" sehen (9). Unter "Schlüsselverwendung" sollte der Eintrag "Digital Signature" zu finden sein. Unter "Erweiterte Schlüsselverwendung" sollen Sie den Eintrag "E-mail Protection" finden. Wenn einer dieser Einträge fehlt, ist der Import des Zertifikat fehlgeschlagen oder es wurde ein falsches Zertifikat importiert.

Wenn die beiden Tests erfolgreich sind, dann können Sie den Tab "Zertifikat für IHR NAME" und die Zertifikatsverwaltung schließen und mit dem nächsten Punkt fortfahren. Wenn einer der Tests nicht erfolgreich war, dann folgen Sie bitte der Anleitung zur Problembehebung am unteren Ende des Thunderbird-Abschnitts. Kehren Sie danach bitte an diese Stelle zurück und prüfen Sie erneut, ob die entsprechenden Tests dann erfolgreich sind.

Nach dem Import des Zertifikats müssen Sie noch für den E-Mail Account festlegen, mit welchem Zertifikat die E-Mails unterschreiben werden.

• Thunderbird-Menü "Extras" (Windows) bzw. "Bearbeiten" (Linux) bzw. "Thunderbird" (Mac) bzw. "Hamburger-Icon" (je nach Thunderbird-Variante und Konfiguration)
• Untermenü "Konten-Einstellungen"
• Sektion "Ende-zu-Ende Verschlüsselung" im Konfigurationsabschnitt Ihres E-Mail Accounts (siehe (1) in der Abbildung unten - aktiviert ist der Eintrag je nach Thunderbird Version grau bzw. blau hinterlegt).
• Eintrag "S/MIME" -> "Persönliches Zertifikat für digitales Signieren" (2) (bzw. "Persönliches Zertifikat für digitale Unterschrift" - je nach Thunderbird Version)
• Button "Auswählen ..." (3) - wählen Sie das Zertifikat aus, welches Sie per Zertifikatsverwaltung importiert haben. Die Details zu dem jeweils ausgewähltem Zertifikat werden nach der Auswahl via Drop-Down-Box angezeigt. Prüfen Sie, dass Sie das richtige Zertifikat ausgewählt haben (sofern Sie mehrere - z.B. alte - Zertifikate besitzen). Bestätigen Sie die Auswahl durch einen Klick auf "OK" bzw. "Ja" (je nach Thunderbird Version).
• Darauf hin werden Sie zusätzlich gefragt, ob Sie das Zertifikat auch für Verschlüsselung verwenden wollen. Bestätigen Sie das mit "OK" bzw. "Ja" (je nach Thunderbird Version).
• Nach erfolgreicher Zuweisung sollte Ihr Zertifikat unter den beiden Einträgen "Persönliches Zertifikat für digitales Signieren" (2) (bzw. "Persönliches Zertifikat für digitale Unterschrift" - je nach Thunderbird Version) sowie "Persönliches Zertifikat für Verschlüsselung" (4) zu sehen sein.
• Bitte ändern Sie nicht die Einstellungen im Abschnitt "Senden von Nachrichten - Standardeinstellungen" (5). Das heißt, dass der Eintrag "(x) Verschlüsselung für neue Nachrichten nicht verwenden" aktiviert sein sollte. Die "Standardeinstellung für Verschlüsselung" ist an dieser Stelle nur in Thunderbird 115, nicht jedoch in Version 102 vorhanden.
• Bitte stellen Sie sicher, dass der Eintrag “[v] Unverschlüsselte Nachrichten digital signieren” aktiviert ist (6).

Jetzt sollte es möglich sein, signierte E-Mails zu schicken. Sie können den Tab "Konten-Einstellungen" schließen.

Zum Versenden einer E-Mail mit digitaler Signatur muss man den Toolbar Button "S/MIME" (bzw. "Sicherheit" - je nach Thunderbird Version) drücken (A) und dort den Eintrag "[v] Digital signieren" (bzw. "[v] Digital unterschreiben" bzw. "[v] Nachricht unterschreiben" - je nach Thunderbird Version) aktivieren (B). Einige ältere Thunderbird-Versionen zeigen zusätzlich in der Statusleiste des Editorfensters ein Symbol "S/MIME" an, wenn die E-Mail signiert verschickt wird. Die aktuelle Thunderbird Version 115 macht dies leider nicht mehr. Hier kann man nur wie eben beschrieben über den Toolbar Button "S/MIME" kontrollieren, ob die Signatur-Funktion aktiviert ist.

Zum Test kann man einfach sich selbst eine signierte E-Mail schicken.

Mittels der digitalen Signatur der E-Mail-Nachricht kann der Empfänger prüfen, dass diese E-Mail tatsächlich vom Absender verschickt wurde. Außerdem ist sichergestellt, dass der Inhalt der E-Mail nicht von Dritten manipuliert wurde. Eine signierte E-Mail erkennt man am "S/MIME" Symbol in der Kopfzeile der E-Mail (siehe (C) in der nächsten Abbildung). Um die Signatur zu prüfen klickt man auf das "S/MIME" Symbol. Darauf hin werden die Details zum Absender angezeigt. Hier sollte man mindestens prüfen, dass die E-Mail-Adresse im Zertifikat (D) mit der Adresse übereinstimmen, die das E-Mail-Programm unter "Von" anzeigt (E).