CAcert

aus Wikipedia, der freien Enzyklopädie

CAcert ist eine gemeinschaftsbetriebene, nicht-kommerzielle Zertifizierungsstelle (Certification Authority, Root-CA oder kurz CA), die kostenfrei X.509-Zertifikate für verschiedene Einsatzgebiete ausstellt. Damit soll eine Alternative zu den kommerziellen Root-CAs geboten werden, die zum Teil recht hohe Gebühren für ihre Zertifikate erheben.

Inhaltsverzeichnis 1 Zertifikate 1.1 Client-Zertifikate 1.2 Server-Zertifikate 2 Assurance/Identitätsprüfung 3 Vertrauenswürdigkeit 4 Organisation 5 Weblinks 6 Einzelnachweise

[Bearbeiten] Zertifikate

[Bearbeiten] Client-Zertifikate

Direkt nach einer Registrierung bei CAcert lassen sich sofort Client-Zertifikate ausstellen. Diese enthalten nur die durch eine automatische Testmail überprüfte E-Mail-Adresse, als Name (CN) wird „CAcert WoT User“ eingetragen. Nach einer Bestätigung der eigenen Person durch andere Mitglieder des CACert-Web-of-Trust lassen sich auch personalisierte Zertifikate mit eingetragenem Namen ausstellen. Sie dienen zum Beispiel zum Verschlüsseln und Signieren von E-Mails und anderen Daten, aber auch Authentifikation an Servern oder zum Signieren von Softwarecode.

Als Sonderfall der Client-Zertifikate können auch PGP-Schlüssel signiert werden.

[Bearbeiten] Server-Zertifikate

Server-Zertifikate sollen die Zugehörigkeit eines Servers zu einer Person oder Unternehmen bestätigen und dienen als Basis für verschlüsselte SSL/TLS-Verbindungen. Es gibt verschiedene Dienste, bei denen Server-Zertifikate zum Einsatz kommen. Dazu gehören u. a. HTTPS, FTP(S), SMTP(S), POP(S) und IMAP(S).

[Bearbeiten] Assurance/Identitätsprüfung

Im Gegensatz zu vielen kommerziellen Zertifikats-Ausstellern findet bei CAcert keine zentralisierte Identitätsüberprüfung beim Aussteller statt. Dadurch können Zertifikate ohne Gebühr ausgestellt werden.

Jedem kostenfrei erstellbaren CAcert-Benutzerkonto sind Punkte (Assurance Points) zugeordnet, die auf verschiedenen Wegen von anfänglich 0 bis auf 150 Punkte erhöht werden können. Die Punkte geben an, wie tief die Identität eines Benutzers von anderen Mitgliedern des CAcert-Mitgliedern überprüft wurde, bzw. wie viele Punkte er beim Überprüfen der Identität eines anderen Benutzers vergeben darf.

Die Authentifizierung der eigenen Identität gegenüber CAcert kann auf zwei Arten erfolgen:

• Zum einen besteht ein Netzwerk aus Freiwilligen (Web of Trust), gegenüber denen sich der neue Benutzer ausweisen kann, um Punkte zu erhalten. Diese Freiwilligen können maximal 35 Punkte vergeben. Bei besonderen Veranstaltungen wie z. B. Messen können Super-Assurer außerhalb Deutschlands bis zu 100 Punkte (Full Assured) vergeben. Dies kommt aber durch die mittlerweile weite Verbreitung seltener vor. In vielen Fällen trifft man auf Veranstaltungen zwei bis drei Assurer an, die dann zusammen den Maximalwert verteilen können. Die Assurer haben sich an das Assurer-Handbook 2^[1] zu halten.

• Zum anderen sind Vertrauenswürdige Dritte (Trusted Third Parties) wie Notare zugelassen, die aufgrund ihrer Position (Beruf) die Identität des Benutzers bestätigen können. Hier können auch bis zu 150 Punkte erlangt werden. Dazu müssen zwei Bestätigungen samt Ausweiskopien an die Zentrale in Australien geschickt werden.

Natürlich ist davon auszugehen, dass die engagierten Freiwilligen ein hohes Maß an Gewissenhaftigkeit an den Tag legen, dennoch ist es nicht ausgeschlossen, dass nicht existente Phantom-Identitäten durch einen kleinen Verbund böswilliger Mitglieder in das System eingeschleust werden. Durch ständige Kontrollen, die Möglichkeit der Meldung solcher Vorfälle und eine CAcert-Policy wird dies allerdings weitestgehend ausgeschlossen.

Das Verfahren ist nahezu identisch mit dem Web of Trust Verfahren für nichtkommerzielle namensgebundene E-Mail-Zertifikate der Zertifizierungsstelle Thawte Consulting, einem Tochterunternehmen von VeriSign, deren Stammzertifikat jedoch im Gegensatz zu dem von CAcert in nahezu allen gängigen Browsern als vertrauenswürdige Zertifizierungsstelle vorinstalliert ist.

Nachdem man 100 Punkte hat, kann man durch andere Assurer keine weiteren Punkte erhalten. Man erhält aber für jede weitere selbst durchgeführte Assurance 2 Punkte gutgeschrieben. Um also die vollen 150 Punkte zu erhalten muss man 25 Personen bestätigen. Alles über 100 Punkte wird als Experience Points (Erfahrungspunkte) bezeichnet, und gibt an wie viel Punkte man selbst vergeben kann.

Punkte	Status	Voraussetzung	Bedeutung
000_ 0-49	not assured	Verifikation der E-Mail-Adresse	Anonyme Client (12 Monate gültig) und Server (6 Monate gültig) Zertifikate können ausgestellt werden.
050_ 50-99	assured	"	Der Name des Anwenders wird ins Zertifikat aufgenommen, Client und Server Zertifikate sind 24 Monate gültig, PGP Schlüssel können signiert werden.
100_ 100	Prospective Assurer	"	Maximale Punktanzahl von anderen Assurern, Beantragung von Code Signing Zertifikaten, Assurer Prüfung kann abgelegt werden
101_ 100-109	Assurer	Bestandene Assurer Prüfung	Nach der Assurer Prüfung können Dritte verifiziert werden, 10 Punkte können vergeben werden, für jede Assurance gibt es 2 Punkte
101_ 110-119	Assurer	5 Mitglieder Assured	15 Punkte können vergeben werden
101_ 120-129	Assurer	10 Mitglieder Assured	20 Punkte können vergeben werden
101_ 130-139	Assurer	15 Mitglieder Assured	25 Punkte können vergeben werden
101_ 140-149	Assurer	20 Mitglieder Assured	30 Punkte können vergeben werden
150_ 150	fully assured	25 Mitglieder Assured	35 Punkte können vergeben werden, maximale Punktezahl als Assurer

Ausnahme: Minderjährige Assurer können unabhängig von ihrem Punktestand maximal 10 Punkte vergeben

[Bearbeiten] Vertrauenswürdigkeit

CAcert ist in vielen E-Mail-Clients und Webbrowsern noch nicht in der Zertifikatsdatenbank als vertrauenswürdige Zertifizierungsstelle eingetragen oder von einer dort eingetragenen Root CA zertifiziert.

Ein Benutzer, der eine Verbindung zu einem Server mit CAcert-Zertifikat aufbaut, wird daher eine Meldung erhalten, dass die Herkunft des Zertifikates nicht überprüft werden konnte. Analog kann man die E-Mail-Signatur eines Client-Zertifikats nicht prüfen.

Der Anwender kann jedoch die Root-Zertifikate von CAcert manuell importieren und damit als vertrauenswürdig einstufen, wonach alle von CAcert herausgegebenen Zertifikate ohne Warnung angenommen werden. Die Mehrheit der Internet-Anwender versteht und vollzieht derartiges Vorgehen jedoch nicht und nimmt die Warnung etwa vor einer „nicht vertrauenswürdigen“ HTTPS-Website ähnlich wahr wie die vor einem Computer-Virus. Im neueren Internet Explorer 7 sowie in Firefox 3 erscheint zudem nicht mehr nur ein Popup „Sicherheitshinweis“, sondern eine Warnung über das ganze Fenster, mit der Empfehlung, die Seite nicht zu benutzen. Zertifikate, deren Herausgeber im Browser nicht von vornherein als vertrauenswürdig eingetragen sind, werden damit für Massenanwendungen zunehmend untauglich.

Bestrebungen seitens CAcert, in freier Software der Mozilla-Familie (Firefox, Thunderbird) als vertrauenswürdiger Herausgeber für ein Root-Zertifikat integriert zu werden, waren bisher nicht erfolgreich. Die Mozilla Foundation hat zudem die Kriterien für die Aufnahme neuer Root-Certs öffentlich diskutiert und im Ergebnis verschärft ^[2], wobei alte Certs aber aus praktischen Erwägungen erhalten bleiben. Verlangt wird nun ein Audit, der Organisation, Prozesse und Technik prüft; CAcert selbst habe auf die Entwicklung dieser Kriterien Einfluss gehabt ^[3].

Wegen Umstrukturierungen in der Leitung von CAcert hat die Organisation Ende April 2007, nach 3 1/2 Jahren Diskussion mit der Mozilla Foundation, kurzzeitig den Antrag auf Aufnahme in die Root Chain der Mozilla Produkte zurückgestellt ^[4]. Aktuell wird an dem Audit, welches zur Aufnahme notwendig ist, und an anderen Qualitätssicherungsmaßnamen weiter gearbeitet.

Eine Reihe von anderen Softwareprodukten sowie Open-Source-Distributionen haben das CAcert-Cert jedoch integriert ^[5].

[Bearbeiten] Organisation

Träger von CAcert ist die CAcert Association, eine in Australien eingetragene gemeinnützige Organisation. Mitglieder haben die Berechtigung, den Vorstand zu wählen bzw. selbst zu kandidieren. Das Ausstellen von Zertifikaten oder die Teilnahme am Web of Trust erfordert allerdings keine Mitgliedschaft.

[Bearbeiten] Weblinks

• CAcert.org
• Philipp Gühring von CAcert im Interview (Audio) mit RadioTux
• Henrik Heigl von CAcert im Interview (Audio) mit Chaosradio Express
• Bericht im Deutschlandfunk vom 24. März 2007

[Bearbeiten] Einzelnachweise

1. ↑ siehe http://wiki.cacert.org/wiki/AssuranceHandbook2
2. ↑ 'Mozilla CA Certificate Policy', mozilla.org, 16. März 2007
3. ↑ 'CAcert root cert inclusion into browser', bugzilla.mozilla.org, 27. April 2007
4. ↑ 'CAcert root cert inclusion into browser', bugzilla.mozilla.org, 27. April 2007
5. ↑ 'CAcert Wiki InclusionStatus', wiki.cacert.org, 5. Juni 2007