Zum Inhalt springen

CAcert

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 11. März 2008 um 14:04 Uhr durch 77.73.254.227 (Diskussion) (Vertrauenswürdigkeit). Sie kann sich erheblich von der aktuellen Version unterscheiden.
Das CAcert.org Logo
Das CAcert.org Logo

CAcert ist eine gemeinschaftsbetriebene, nicht-kommerzielle Zertifizierungsstelle (Certification Authority, Root-CA oder kurz CA), die kostenfrei X.509-Zertifikate für verschiedene Einsatzgebiete ausstellt. Damit soll eine Alternative zu den kommerziellen Root-CAs geboten werden, die zum Teil recht hohe Gebühren für ihre Zertifikate erheben.

Zertifikate

Client-Zertifikate

Direkt nach einer Registrierung bei CAcert lassen sich sofort Client-Zertifikate ausstellen. Diese enthalten nur die durch eine automatische Testmail überprüfte E-Mail Adresse, als Name (CN) wird "CAcert WoT User" eingetragen. Nach einer Bestätigung der eigenen Person durch andere Mitglieder des CACert-Web-of-Trust lassen sich auch personalisierte Zertifikate mit eingetragenem Namen ausstellen. Sie dienen zum Beispiel zum Verschlüsseln und Signieren von E-Mails und anderen Daten, aber auch Authentifikation an Servern oder zum Signieren von Softwarecode.

Als Sonderfall der Client-Zertifikate können auch PGP-Schlüssel signiert werden.

Server-Zertifikate

Server-Zertifikate sollen die Zugehörigkeit eines Servers zu einer Person oder Unternehmen bestätigen und dienen als Basis für verschlüsselte SSL/TLS-Verbindungen. Es gibt verschiedene Dienste, bei denen Server-Zertifikate zum Einsatz kommen. Dazu gehören u. a. HTTPS, FTP(S), SMTP(S), POP(S) und IMAP(S).

Assurance/Identitätsprüfung

Im Gegensatz zu vielen kommerziellen Zertifikats-Ausstellern findet bei CAcert keine zentralisierte Identitätsüberprüfung beim Aussteller statt. Dadurch können Zertifikate ohne Gebühr ausgestellt werden.

Jedem kostenfrei erstellbaren CAcert-Benutzerkonto sind Punkte (Assurance Points) zugeordnet, die auf verschiedenen Wegen von anfänglich 0 bis auf 150 Punkte erhöht werden können. Die Punkte geben an, wie tief die Identität eines Benutzers von anderen Mitgliedern des CAcert-Mitgliedern überprüft wurde, bzw. wie viele Punkte er beim Überprüfen der Identität eines anderen Benutzers vergeben darf.

Die Authentifizierung der eigenen Identität gegenüber CAcert kann auf zwei Arten erfolgen:

  • Zum einen besteht ein Netzwerk aus Freiwilligen (Web of Trust), gegenüber denen sich der neue Benutzer ausweisen kann, um Punkte zu erhalten. Diese Freiwilligen können maximal 35 Punkte vergeben. Bei besonderen Veranstaltungen wie z. B. Messen können Super-Assurer außerhalb Deutschlands bis zu 100 Punkte (Full Assured) vergeben. Dies kommt aber durch die mittlerweile weite Verbreitung seltener vor. In vielen Fällen trifft man auf Veranstaltungen 2-3 Assurer an, die dann zusammen den Maximalwert verteilen können. Die Assurer haben sich an das Assurer-Handbook 2[1] zu halten.
  • Zum anderen sind Vertrauenswürdige Dritte (Trusted Third Parties) wie Notare zugelassen, die aufgrund ihrer Position (Beruf) die Identität des Benutzers bestätigen können. Hier können auch bis zu 150 Punkte erlangt werden. Dazu müssen zwei Bestätigungen samt Ausweiskopien an die Zentrale in Australien geschickt werden. Das TTP-Verfahren wird in Deutschland allerdings nicht mehr durchgeführt, da hier eine Flächendeckung durch bereits vorhandene Assurer besteht.

Natürlich ist davon auszugehen, dass die engagierten Freiwilligen ein hohes Maß an Gewissenhaftigkeit an den Tag legen, dennoch ist es nicht ausgeschlossen, dass nicht existente Phantom-Identitäten durch einen kleinen Verbund böswilliger Mitglieder in das System eingeschleust werden. Durch ständige Kontrollen, die Möglichkeit der Meldung solcher Vorfälle und eine CAcert-Policy wird dies allerdings weitestgehend ausgeschlossen.

Das Verfahren ist nahezu identisch mit dem Web of Trust Verfahren für nichtkommerzielle namensgebundene E-Mail Zertifikate der Zertifizierungsstelle Thawte Consulting, einem Tochterunternehmen von VeriSign, deren Stammzertifikat jedoch im Gegensatz zu dem von CAcert in nahezu allen gängigen Browsern als vertrauenswürdige Zertifizierungsstelle vorinstalliert ist.

Vertrauenswürdigkeit

CAcert ist in vielen E-Mail-Clients und Webbrowsern noch nicht in der Zertifikatsdatenbank als vertrauenswürdige Zertifizierungstelle eingetragen oder von einer dort eingetragenen Root CA zertifiziert.

Ein Benutzer, der eine Verbindung zu einem Server mit CAcert-Zertifikat aufbaut, wird daher eine Meldung erhalten, dass die Herkunft des Zertifikates nicht überprüft werden konnte. Analog kann man die E-Mail-Signatur eines Client-Zertifikats nicht prüfen.

Der Anwender kann jedoch die Root-Zertifikate von CAcert manuell importieren und damit als vertrauenswürdig einstufen, wonach alle von CAcert herausgegebenen Zertifikate ohne Warnung angenommen werden. Die Mehrheit der Internet-Anwender versteht und vollzieht derartiges Vorgehen jedoch nicht und nimmt die Warnung etwa vor einer "nicht vertrauenswürdigen" HTTPS-Website ähnlich wahr wie die vor einem Computer-Virus. Im neueren Internet Explorer 7 sowie in Firefox 3 erscheint zudem nicht mehr nur ein Popup "Sicherheitshinweis", sondern eine Warnung über das ganze Fenster, mit der Empfehlung, die Seite nicht zu benutzen. Zertifikate, deren Herausgeber im Browser nicht von vornherein als vertrauenswürdig eingetragen sind, werden damit für Massenanwendungen zunehmend untauglich.

Bestrebungen seitens CAcert, in freier Software der Mozilla-Familie (Firefox, Thunderbird) als vertrauenswürdiger Herausgeber für ein Root-Zertifikat integriert zu werden, waren bisher nicht erfolgreich. Die Mozilla Foundation hat zudem die Kriterien für die Aufnahme neuer Root-Certs öffentlich diskutiert und im Ergebnis verschärft [2], wobei alte Certs aber aus praktischen Erwägungen erhalten bleiben. Verlangt wird nun ein Audit, der Organisation, Prozesse und Technik prüft; CAcert selbst habe auf die Entwicklung dieser Kriterien Einfluss gehabt [3].

Wegen Umstrukturierungen in der Leitung von CAcert hat die Organisation Ende April 2007, nach 3 1/2 Jahren Diskussion mit der Mozilla Foundation, bis auf weiteres den Antrag auf Aufnahme in die Root Chain der Mozilla Produkte zurückgestellt [4].

Eine Reihe von anderen Softwareprodukten sowie open-source-Distributionen haben das CAcert-Cert jedoch integriert [5].

Organisation

Träger von CAcert ist die CAcert Association, eine in Australien eingetragene gemeinnützige Organisation. Mitglieder haben die Berechtigung, den Vorstand zu wählen bzw. selbst zu kandidieren. Das Ausstellen von Zertifikaten oder die Teilnahme am Web of Trust erfordert allerdings keine Mitgliedschaft.


Siehe auch

Quellen

  1. siehe http://wiki.cacert.org/wiki/AssuranceHandbook2
  2. 'Mozilla CA Certificate Policy', mozilla.org, 16. März 2007
  3. 'CAcert root cert inclusion into browser', bugzilla.mozila.org, 27. April 2007
  4. 'CAcert root cert inclusion into browser', bugzilla.mozila.org, 27. April 2007
  5. 'CAcert Wiki InclusionStatus', wiki.cacert.org, 5. Juni 2007
Abgerufen von „https://de.wikipedia.org/w/index.php?title=CAcert&oldid=43569425