CAcert

Die Neutralität dieses Artikels oder Abschnitts ist umstritten. Eine Begründung steht auf der Diskussionsseite.

CAcert ist eine gemeinschaftsbetriebene nicht kommerzielle Zertifizierungsstelle (Root-CA), die kostenfrei X.509-Zertifikate für verschiedene Einsatzgebiete ausstellt. Damit soll eine Alternative zu den kommerziellen Root-CAs geboten werden, die zum Teil recht hohe Gebühren für ihre Zertifikate erheben. Die Dienstleistungen der CAcert sind allgemein. Jeder kann sich Zertifikate auf seinem Namen bzw. auf seinen Server ausstellen lassen, nachdem er seine Identität belegt hat.

Folgende Zertifikate und Signaturen werden angeboten:

Diese Zertifikate sind nach einer Bestätigung der eigenen Person durch andere Mitglieder des CaCert-Web-of-Trust personalisiert, sie dienen zum Beispiel zum Verschlüsseln und Signieren von E-Mails und anderen Daten, aber auch Authentifikation an Servern oder zum Signieren von Softwarecode.

Als Sonderfall der Client-Zertifikate können auch PGP-Schlüssel signiert werden.

Server-Zertifikate sollen die Zugehörigkeit eines Servers zu einer Person oder Unternehmen bestätigen und dienen als Basis für verschlüsselte SSL/TLS-Verbindungen. Es gibt verschiedene Dienste, bei denen Server-Zertifikate zum Einsatz kommen. Dazu gehören u. a. HTTPS, FTP(S), SMTP(S), POP(S) und IMAP(S).

Um ein Zertifikat zu erhalten, muss man sich zunächst auf der Seite https://www.cacert.org/index.php?id=1 als Benutzer anmelden. Jedem Benutzerkonto sind Punkte (Assurance Points) zugeordnet, die auf verschiedenen Wegen von anfänglich 0 bis auf 150 Punkte erhöht werden können. Die Punkte geben an, wie genau die Identität eines Benutzers überprüft wurde (bis 100 Punkte) bzw. wieviele Punkte er beim Überprüfen der Identität eines anderen Benutzers vergeben darf (ab 100 Punkten).

Die Authentifikation der eigenen Identität gegenüber CAcert kann auf zwei Arten erfolgen:

Zum einen besteht ein Netzwerk aus Freiwilligen (Web of Trust), gegenüber denen sich der neue Benutzer ausweisen kann, um Punkte zu erhalten. Eine Liste der freiwilligen Assurer ist auf der Internetseite zu finden. Sie können maximal 35 Punkte vergeben. Bei besonderen Veranstaltungen wie z.B. Messen können Super-Assurer sofort die maximalen 150 Punkte vergeben.

Zum anderen sind 'Vertrauenswürdige Dritte' (Trusted Third Parties) wie Notare zugelassen, die aufgrund ihrer Position (Beruf) die Identität des Benutzers bestätigen können. Hier können auch bis zu 150 Punkte erlangt werden. Dazu müssen zwei Bestätigungen samt Ausweiskopien an die Zentrale in Australien geschickt werden. Weitere Kosten fallen bei CAcert nicht an. Das TTP-Verfahren wird in Deutschland allerdings nicht mehr durchgeführt, da hier eine Fläechendeckung durch bereits vorhandene Assurer besteht. Andere Länder sind hiervon im Moment noch unbeeinflusst.

Abhängig von der eigenen Punktezahl können bestimmte Zertifikate nicht, oder nur eingeschränkt ausgestellt werden. Ein einfaches E-Mail-S/MIME-Zertifikat kann man bereits ab 0 Punkten bekommen. Für andere Zertifikate (Code Signing, S/MIME-Zertifikate mit Namen) werden mehr Punkte benötigt. Auch die Laufzeit des Zertifikates ist für Benutzer mit wenigen Punkten beschränkt.

Vor der Ausgabe von Zertifikaten wird eine weitere Überprüfung durchgeführt. Der Benutzer muss sich einen Pool an E-Mail-Adressen und Domains anlegen. Jeder Eintrag wird mit einer Testmail verifiziert. Bei Domains kann zwischen mehreren E-Mail-Adressen zur Überprüfung gewählt werden, so etwa den Adressen aus dem Whois-Eintrag oder üblichen Systemverwalterpostfächern, wie root oder webmaster.

Anschließend können für die E-Mail-Adressen Clientzertifikate und für die Domains Server-Zertifikate ausgestellt werden. Dazu erzeugt man sich einen Zertifikatssignaturanfrage (Certificate Signing Request, CSR) und übermittelt sie im Webformular. Das Zertifikat wird erstellt und kann nach kurzer Zeit heruntergeladen werden. Für Clientzertifikate ist die Übermittlung einer Zertifikatssignaturanfrage freiwillig, wird aufgrund der höheren Sicherheit aber dringend empfohlen.

CAcert ist in den meisten E-Mail-Clients und Webbrowsern nicht in der Zertifikatsdatenbank als vertrauenswürdige Zertifizierungstelle eingetragen oder von einer dort eingetragenen Root CA zertifiziert. Ein Benutzer, der versucht eine Verbindung zu einem Server aufzubauen, der über ein CAcert-Zertifikat verfügt, wird eine Meldung erhalten, dass die Herkunft des Zertifikates nicht überprüft werden konnte. Analog kann man die Signatur mit einem Client-Zertifikat nicht prüfen.

Durch den Import des CAcert-Root-Zertifikats, das unter https://www.cacert.org/index.php?id=3 erhältlich ist, kann der Benutzer angeben, dass er allen CAcert Zertifikaten vertraut.

Träger von CAcert ist die CAcert Association, eine in Australien eingetragene gemeinnützige Organisation, der man für einen Mitgliedsbeitrag von 10 USD pro Jahr beitreten kann. Mitglieder haben die Berechtigung den Vorstand zu wählen bzw. selbst zu kandidieren. Das Ausstellen von Zertifikaten oder die Teilnahme am Web of Trust erfordert allerdings keine Mitgliedschaft.

• per IRC im #cacert.ger auf irc.cacert.org
• per Kontaktformular auf www.cacert.de
• per E-Mail an support@cacert.org

• Public Key Infrastructure
• Elektronische Unterschrift

• CAcert.org
• FAQ und umfangreiche Dokumentation zu CAcert
• CAcert Österreich
• Deutsches CAcert-Support-Forum
• CAcert auf der Cebit 2007
• Heise Newsticker Meldung zur CeBIT 2005
• Heise Newsticker Meldung zum LinuxTag 2005
• Philipp Gühring von CAcert im Interview (Audio) mit RadioTux
• Henrik Heigl von CAcert im Interview (Audio) mit Chaosradio Express
• weitere Infos für Assurer (Logos, Badges, etc.)
• Bericht im Deutschlandfunk vom 24.3.07