Toto je odpověď od ChatGPT (AI):

Tady je ověřený návod, jak řešit problém **"nenalezen odpovídající certifikát"** po aktualizaci Thunderbirdu (např. verze 140.0.1):

---

1. 1. 🔧 Krok 1: Ověřte, že máte importovaný certifikát s privátním klíčem

1. Získejte svůj soubor certifikátu ve formátu **PKCS#12** („.p12“ nebo „.pfx“), který obsahuje **vás, privátní klíč i certifikát ověřovací autority (CA)**. 2. V Thunderbirdu jděte do: **Nastavení účtu → End-to‑End šifrování → Spravovat S/MIME certifikáty**. 3. V záložce **„Vaše certifikáty“** klikněte **Import**, vyberte tento soubor a zadejte heslo. ([SSL.com][1], [kb.mozillazine.org][2], [SSL.com][3]) 4. V záložce **Autority** se ujistěte, že je importován certifikát vaší CA (pokud je váš certifikát podepsán autoritou, ne sám sebou).

---

1. 1. 🛠️ Krok 2: Připravte kompletní certifikátový řetězec

Pokud Thunderbird stále *nenajde* odpovídající certifikát:

• Při vytváření `.p12` souboru exportujte **veškerý řetězec**, nejen svůj, ale i intermediární certifikáty.
• Použijte příkaz (pokud používáte `openssl`):

```bash openssl pkcs12 -export \

 -in myname_public.crt \
 -inkey myname_private.key \
 -certfile public_chain.crt \
 -out my_SMIME_cert.p12

```

Tím zajistíte, že Thunderbird “vidí” i potřebné mezičlánky certifikátu .

---

1. 1. ♻️ Krok 3: “Zadejte” certifikát do nastavení účtu

1. Jděte do **Nastavení účtu → End‑to-End šifrování**. 2. U vašeho e‑mailu vyberte **Vybrat…** pro digitální podepisování a šifrování. 3. Vyberte správný certifikát (nyní by tam měl být), potvrďte výběr. ([SSL.com][1])

---

1. 1. 🧩 Krok 4: Kontrola fungování

• Napište testovací e‑mail a ho elektronicky podepište.
• Thunderbird by již neměl hlásit chybějící certifikát.
• Můžete také zkontrolovat, že e‑mail je podepsaný i na straně příjemce.

---

1. 1. 💡 Extra tip (na problémy s SHA‑1)

Pokud se vám objeví hláška jako „Signature not valid“ kvůli použití **staršího SHA‑1** algoritmu, můžete (ale jen pokud opravdu potřebujete) otevřít **Config Editor**, najít `mail.smime.accept_insecure_sha1_message_signatures` a nastavit hodnotu na **`true`**. Tím umožníte přijímat SHA‑1 podpisy ([Reddit][4]).

---

1. 1. 1. ✅ Shrnutí

| Problém | Řešení | | ------------------------------------- | --------------------------------------------------------------------------------------- | | Chybí certifikát v Thunderbirdu | Importujte `.p12` s privátním klíčem do sekce **Vaše certifikáty**. | | 🔒 Certifikát bez CA řetězce | Exportujte `.p12` i s CA chain (pomocí `openssl` a `certfile`). | | ❗ Špatný výběr v nastavení | Ujistěte se, že je v End‑to‑End šifrování vybraný **správný certifikát**. | | 🍂 Starý SHA‑1 podpis zobrazuje chybu | Můžete povolit `mail.smime.accept_insecure_sha1_message_signatures = true` (volitelně). | ---

Já bych ještě zkusil vypnout (pokud používáš) newindowsovský antivirák.

Odpověď neřeší můj problém. Nepoužívám kvalifikovaný certifikát s privátním klíčem uloženým v počítači. Používám Privátní klíč na zařízení QSCD (Qualified Signature Creation Device). Thunderbird používám s tímto nastavením mnoho let. Problém je až ve verzi 140.0.1esr. Podle všeho to vypadá, že Thunderbird chce podepisovat odesílaný email certifikátem OpenPGP, přestože není v Thuderbirdu žádný takový certifikát nastaven. Nebo lépe řečeno, pokud chci odeslat email s kvalifikovaným podpisem s privátním klíčem na zařízení QSCD , pak se v hlavičce odesílaného emailu objeví že bude odeslán privátní klíč OpenPGP a pak odeslání selže, protože v Thunderbirdu žádný takový klíč není,

Co ten antivirák? Některé zkouší "podstrkovat" vlastní certifikáty, které TB nemusí přijmout. Pokud se něco změnilo v Thunderbirdu samotném, tak se zkus poptat u autorů: https://bugzilla.mozilla.org

Znovu jsem to předhodil AI:

Pokud ve Thunderbird dostáváte chybu **„nenalezen opovídající certifikát“**, znamená to, že program nemůže najít správný certifikát, který je potřeba pro dešifrování nebo ověření digitálního podpisu zprávy.

Tato chyba může nastat z několika důvodů, a pojďme se podívat na možné příčiny a řešení:

1. 1. 1. Možné příčiny:

1. **Certifikát byl ztracen nebo vypršel**

  Pokud certifikát, který používáte pro podepisování nebo šifrování, vypršel nebo byl odstraněn (například po aktualizaci systému), Thunderbird nebude schopen tento certifikát najít a použít.

  **Řešení**:
  Zkontrolujte, jestli máte certifikát stále nainstalován a zda není neplatný. Můžete to udělat takto:

  * Otevřete Thunderbird.
  * Přejděte do **Nastavení** → **S/MIME**.
  * Zkontrolujte seznam certifikátů, které máte nainstalované, a ověřte, zda váš certifikát pro šifrování a podpisy je stále aktivní.

2. **Chybí přístup k privátnímu klíči na QSCD zařízení**

  Pokud používáte zařízení QSCD pro uložení privátního klíče, může být problém v tom, že Thunderbird nemůže správně komunikovat s tímto zařízením. Například zařízení může být odpojené, nebo software pro komunikaci s QSCD zařízením (např. ovladače nebo middleware) může být po aktualizaci nekompatibilní.

  **Řešení**:

  * Ujistěte se, že vaše QSCD zařízení je správně připojeno a komunikace s ním funguje.
  * Zkontrolujte, zda máte nainstalovaný správný software pro podporu QSCD zařízení (např. ovladače nebo aplikace, které umožňují komunikaci mezi Thunderbirdem a vaším QSCD zařízením).
  * Někdy může pomoci restartovat počítač nebo zkusit zařízení připojit k jinému portu USB.

3. **Problém s konfigurací Thunderbird**

  Po aktualizaci na novou verzi Thunderbirdu může dojít k problémům s konfigurací nebo kompatibilitou. Nová verze mohla změnit způsob, jakým Thunderbird pracuje s certifikáty nebo způsob komunikace se zařízeními pro elektronické podpisy.

  **Řešení**:

  * Zkuste se vrátit k předchozí verzi Thunderbirdu, pokud to jde.
  * Zkontrolujte, zda máte správně nakonfigurovaný certifikát a privátní klíč v Thunderbirdu podle těchto kroků:

    1. Přejděte na **Nastavení účtu**.
    2. Vyberte svůj emailový účet a pak klikněte na **S/MIME**.
    3. Ujistěte se, že je vybraný správný certifikát pro šifrování a digitální podpisy.

4. **Nastavení na serveru nebo problémy s certifikátem příjemce**

  Pokud se vám tato chyba objevuje pouze u určitého příjemce, může být problém na jeho straně. Může být, že příjemce nemá správně nainstalovaný svůj certifikát nebo používá certifikát, který již není platný.

  **Řešení**:
  Zkuste ověřit, jestli příjemce správně používá S/MIME a zda má aktuální certifikát pro šifrování a podpisy. Můžete se také ujistit, že máte správný veřejný certifikát příjemce.

1. 1. 1. Co dál?

Pokud všechny výše uvedené možnosti nevyřeší problém, může být dobré:

• Zkontrolovat, zda není problém s aktualizacemi a zda není k dispozici oprava nebo nová verze Thunderbirdu.
• Případně kontaktovat podporu Mozilly, pokud máte podezření na problém s konkrétní verzí Thunderbirdu.

--- PS: Tady není podpora Mozilly, je to jen Fórum uživatelů.

Budu muset zkusit podporu. Ad.1 certifikát platí ještě 2,5 roku. Ad 2 přístup k QSCD zařízení je. Thunderbird s ním pracuje. Zadávám do Thunderbirdu heslo pro otevření QSCS a vytvoření podpisu. Ad.3 Konfugurace je stejná. Opětovně znovu přenastaveno. Ad.4 Nepoužívám šifrování. Pouze popis emailu. Platí pro všechny emaily.