Wenn in Thunderbird ein neues S/MIME Zertifikat installiert wurde und beim Versenden einer digital signierten E-Mail die Meldung SEC_ERROR_UNKNOWN_ISSUER erscheint, liegt dies in der Regel nicht an einem falschen E-Mail-Passwort oder an einer fehlerhaften Mailserver-Einstellung.
Die Meldung bedeutet, dass Thunderbird den Aussteller des S/MIME Zertifikats nicht vollständig prüfen kann. Das persönliche Zertifikat selbst kann dabei korrekt installiert sein. Häufig fehlt lediglich ein sogenanntes Zwischenzertifikat, auch Intermediate-Zertifikat genannt.
Was bedeutet SEC_ERROR_UNKNOWN_ISSUER?
Ein S/MIME Zertifikat wird von einer Zertifizierungsstelle ausgestellt. Damit Thunderbird diesem Zertifikat vertrauen kann, muss eine vollständige Zertifikatskette vorhanden sein.
Diese Kette sieht vereinfacht so aus:
- Ihr persönliches S/MIME Zertifikat
- Zwischenzertifikat der Zertifizierungsstelle
- Root-Zertifikat der Zertifizierungsstelle
Ist ein Teil dieser Kette nicht vorhanden, kann Thunderbird das Zertifikat nicht vollständig prüfen. In diesem Fall erscheint beim Signieren einer E-Mail unter Umständen die Fehlermeldung SEC_ERROR_UNKNOWN_ISSUER.
Warum tritt der Fehler nach einem Zertifikatswechsel auf?
Der Fehler kann auch auftreten, wenn S/MIME mit einem früheren Zertifikat bereits funktioniert hat. Das wirkt zunächst widersprüchlich, ist aber technisch erklärbar.
Bei einem neuen S/MIME Zertifikat kann eine neue Zertifikatskette verwendet werden. Das neue Zertifikat wurde dann zwar korrekt als PFX-Datei installiert, Thunderbird kennt aber das dazugehörige Zwischenzertifikat noch nicht.
Eine PFX-Datei enthält normalerweise das persönliche Zertifikat inklusive privatem Schlüssel. Je nach Ausstellung und Download enthält sie aber nicht immer alle benötigten Zwischenzertifikate. In diesem Fall muss das fehlende Zwischenzertifikat zusätzlich in Thunderbird importiert werden.
Typischer Fall bei GlobalSign S/MIME Zertifikaten
Bei aktuellen GlobalSign S/MIME Zertifikaten kann beispielsweise das Zwischenzertifikat GlobalSign GCC R45 SMIME CA 2025 benötigt werden.
GlobalSign stellt die passenden Zwischenzertifikate auf der Seite PersonalSign Intermediate Certificates bereit.
Wenn Thunderbird beim Versand einer signierten E-Mail den Fehler SEC_ERROR_UNKNOWN_ISSUER anzeigt und als Aussteller des persönlichen Zertifikats GlobalSign GCC R45 SMIME CA 2025 genannt wird, sollte dieses Zwischenzertifikat in Thunderbird importiert werden.
Zwischenzertifikat in Thunderbird importieren
Die folgenden Schritte zeigen, wie das fehlende Zwischenzertifikat in Thunderbird ergänzt wird.
- Öffnen Sie Thunderbird.
- Rufen Sie die Einstellungen (1) auf.
- Wechseln Sie zu Datenschutz & Sicherheit (2).
- Klicken Sie im Bereich Zertifikate auf Zertifikate verwalten (3).
- Wechseln Sie auf den Reiter Zertifizierungsstellen (4).
- Klicken Sie auf Importieren (5).
- Laden Sie das passende Zwischenzertifikat von GlobalSign herunter, zum Beispiel GlobalSign GCC R45 SMIME CA 2025, und wählen Sie die Datei für den Import aus.
- Bestätigen Sie den Import.
- Falls Thunderbird nach dem Vertrauen fragt, aktivieren Sie die Option Dieser CA vertrauen, um E-Mail-Benutzer zu identifizieren.
- Schließen Sie Thunderbird vollständig und starten Sie das Programm anschließend neu.
S/MIME Zertifikat anschließend erneut prüfen
Nach dem Import des Zwischenzertifikats sollte geprüft werden, ob das persönliche S/MIME Zertifikat weiterhin korrekt dem E-Mail-Konto zugeordnet ist.
- Öffnen Sie in Thunderbird die Konten-Einstellungen.
- Wählen Sie das betroffene E-Mail-Konto aus.
- Öffnen Sie den Bereich Ende-zu-Ende-Verschlüsselung.
- Prüfen Sie im Bereich S/MIME, ob Ihr Zertifikat für die digitale Signatur ausgewählt ist.
- Wählen Sie das Zertifikat bei Bedarf erneut aus.
- Erstellen Sie anschließend eine neue E-Mail und aktivieren Sie die digitale Signatur.
Warum installiert Thunderbird das Zertifikat nicht automatisch?
Thunderbird verwendet eine eigene Zertifikatsverwaltung. Deshalb reicht es nicht immer aus, wenn ein Zertifikat im Windows-Zertifikatsspeicher vorhanden ist. Auch bekannte Zertifizierungsstellen können in Thunderbird eine zusätzliche Zertifikatskette benötigen, wenn ein bestimmtes Zwischenzertifikat lokal noch nicht vorhanden ist.
Bei Webseiten wird das Zwischenzertifikat in der Regel vom Webserver mitgeliefert. Bei S/MIME hängt es dagegen stärker davon ab, welche Zertifikate in der PFX-Datei enthalten sind und welche Zertifikate Thunderbird bereits kennt.
Woran erkenne ich, welches Zwischenzertifikat fehlt?
Öffnen Sie in Thunderbird Ihr persönliches S/MIME Zertifikat und prüfen Sie den Aussteller. Wird dort beispielsweise GlobalSign GCC R45 SMIME CA 2025 angezeigt, muss dieses Zertifikat als Zertifizierungsstelle beziehungsweise Zwischenzertifikat in Thunderbird vorhanden sein.
Das persönliche Zertifikat selbst gehört in Thunderbird in den Bereich Ihre Zertifikate. Das Zwischenzertifikat gehört dagegen in den Bereich Zertifizierungsstellen.
Wichtig: PFX-Datei und Zwischenzertifikat nicht verwechseln
Die PFX-Datei ist das persönliche S/MIME Zertifikat. Sie enthält den privaten Schlüssel und wird benötigt, damit E-Mails digital unterschrieben werden können.
Das Zwischenzertifikat ist kein persönliches Zertifikat. Es dient nur dazu, die Vertrauenskette zur Zertifizierungsstelle herzustellen. Es wird daher nicht im Reiter Ihre Zertifikate, sondern unter Zertifizierungsstellen importiert.
Weitere Hilfe
Wenn das S/MIME Zertifikat noch nicht in Thunderbird installiert wurde, hilft unsere Anleitung zur Installation eines S/MIME Zertifikats im Mailclient weiter:
S/MIME Zertifikat im Mailclient installieren
Wenn der Fehler trotz importiertem Zwischenzertifikat weiterhin auftritt, sollte geprüft werden, ob das richtige Zertifikat für die verwendete Absenderadresse ausgewählt wurde. Das Zertifikat muss zur E-Mail-Adresse des Kontos passen, mit dem die signierte Nachricht versendet wird.
