Zertifikate von CAcert
CAcert ist eine Zertifizierungsstelle für kostenlose X.509-Zertifikate, die für verschiedene Zwecke benutzt werden können. Auf wikipedia.de ist dazu in der Einleitung des Artikels über CAcert zu lesen:
CAcert ist eine gemeinschaftsbetriebene, nicht-kommerzielle Zertifizierungsstelle (Certification Authority, Root-CA oder kurz CA), die kostenfrei X.509-Zertifikate für verschiedene Einsatzgebiete ausstellt. Damit soll eine Alternative zu den kommerziellen Root-CAs geboten werden, die zum Teil recht hohe Gebühren für ihre Zertifikate erheben.
Ein weiterer, wichtiger Punkt ist die Vertrauensbildung der einzelnen Benutzer der Zertifikate und damit der ganze Gemeinschaft von CAcert. Es basiert auf dem Netz des Vertrauens und bietet daher eine ganze Menge Vorteile. Einerseits findet die Identitätsüberprüfung dezentral und damit nicht hierarchisch statt. Jeder kann Mitglieder der Gemeinschaft werden und ein Zertifikat bekommen, soweit ein paar Grundregeln erfüllt sind und eingehalten werden. Andererseits wächst das Netz des Vertrauens genau durch diese dezentrale Struktur immer weiter heran und bietet bereits heute eine gute Alternative zu den kommerziellen Anbietern.
Es gibt aber auch Nachteile. Ich sehe da zurzeit drei Punkte, die allenfalls noch zu verbessern wären. Erstens sind die Root-Zertifikate nicht in den gängigen Browsern und Mail-Programmen integriert, was bei der Verwendung von CAcert-Zertifikaten zu der hässlichen Meldung führt, dass dem Zertifikat nicht vertraut würde, da die Herkunft unklar wäre. Weiter kann CAcert keine Haftung für Firmen wahrnehmen, die ein solches Zertifikat nutzen und sich daraus Ansprüche ableiten liessen. Der zweite Punkt ist weit weniger arg, als der erste. Und schliesslich dürfte es für einen Einsteiger etwas umständlich sein, zu einem Zertifikat zu kommen, wenn er niemanden persönlich kennt und aus der Liste des Assurer jemanden finden soll. Je mehr Assurer es gibt, umso einfacher dürfte diese Herausforderung zu erledigen sein.
Wie dem auch sei; ich konnte nun an der Keysigning-Party in Zürich so viele CAcert-Punkte sammeln, dass ich nun selbst zu einem Assurer (nur mit Login bei CAcert zu erreichen) geworden bin. Ich bedanke mich bei allen Assurern, die meine Identität so bereitwillig geprüft haben. Damit kann das Web of Trust vielleicht wieder ein kleines Stück weiter wachsen und ich werde versuchen, meinen Teil dazu beizutragen.
Bis jetzt setze ich zwar noch kein CAcert-Zertifikat ein, aber das ändert sich hoffentlich bald. Immerhin konnte ich meinen GnuGP-Schlüssel mit CAcert austauschen und unterschreiben.
21. Dezember 2009 um 12:46:32 Uhr
alle Links die auf CAcert verweisen, sind unter Firefox als nicht vertrauenswürdig eingestuft.
Der Link mit deiner UserID bei CAcert bricht sogar mit einem SSL Fehler ab.(Fehlercode: ssl_error_handshake_failure_alert)
Eine durchweg gute Idee sowas, aber es tut nciht das was es soll. :-/
21. Dezember 2009 um 12:53:49 Uhr
Sehe gerade jetzt, dass die Links bloss mit dem Zertifikat von CAcert korrekt zu erreichen sind. Insofern sind sie für Leute ohne CAcert-Zertifikat wertlos.
21. Dezember 2009 um 12:54:56 Uhr
soll das so sein? ^^
21. Dezember 2009 um 12:57:36 Uhr
Ja, weil ich die falschen Links aus meinem Konto heraus angegeben habe. Suche noch nach den Links ausserhalb des geschützten Bereichs, aber da finde ich auf die Schnelle nichts.
21. Dezember 2009 um 13:05:52 Uhr
Die Liste der Assurer ist offenbar bloss mit einem gültigen Login einzusehen.
21. Dezember 2009 um 14:08:31 Uhr
@nogge (1.):
Die Zertifikate kann man hier sehen: http://www.cacert.org/index.php?id=3 und von dort auch gleich im Browser einbinden. Es wird derzeit daran gearbeitet, im nächsten Firefox-Release automatisch enthalten zu sein.
Im Wiki ist auch zu finden, wie man die Zertifikate in andere Programme “einbaut”: http://wiki.cacert.org/ImportRootCert
@Roman (5.):
Ich konnte die Links sofort aufrufen. Meiner Meinung nach macht das auch Sinn, dass man die Assurer nur mit einem gültigen Login finden kann, da man sie auch nur dann braucht.
Also: Erst Login anlegen und dann suchen, wer einen beglaubigen kann.
21. Dezember 2009 um 14:48:36 Uhr
Cacert ist dran, sein Root-Zertifikat standardmäßig in Firefox zu integrieren, siehe https://bugzilla.mozilla.org/show_bug.cgi?id=215243#c158 .
Leider gabs/gibts da ein paar Probleme..
22. Dezember 2009 um 23:37:23 Uhr
Wann gedenkt CAcert die Probleme in Sachen Mozilla Firefox zu lösen?
So oder so sind Zertifikate, die zu Fehlermeldungen führen, keine gute Idee – auch wenn die meisten Benutzer sich inzwischen an solche Fehlermeldungen gewohnt haben …
28. Dezember 2009 um 11:46:25 Uhr
Ich habe das Warten auf die Integration des Wurzelzertifikats von CACert in Firefox inzwischen aufgegeben. Bei Startssl gibt es ebenfalls kostenlose Zertifikate für S/MIME und HTTPS, und die werden von allen gängigen Browsern (vom IE unter XP erst nach optionalem Windows-Update) fehlerfrei akzeptiert:
http://www.startssl.com/
Der Service von Startssl ist übrigens spitze:
http://www.sslshopper.com/star.....views.html
28. Dezember 2009 um 13:38:05 Uhr
Was verwendet Ihr als Anbieter für E-Mail-Zertifikate?
28. Dezember 2009 um 14:17:04 Uhr
Ich benutze CAcert für E-Mail und godaddy.com für die Browser-Zertifikate.
28. Juli 2010 um 11:38:14 Uhr
startssl ist wohl gratis und in browsern enthalten, jedoch unterstützen sie keine wild cards. bei mehreren subdomains ist es mühsam. dann lieber cacert.