Keysigning-Party zu Zürich und CAcert
Gestern traf ich mich mit einigen Geeks und Nerds der “normalen Klasse” in Zürich zu einer Keysigning-Party. Für mich war es die erste Veranstaltung dieser Art und sie hat Spass gemacht. Das Vorhaben dient vor allem dem Web of Trust, einem Netzwerk, das auf Vertrauen aufbaut, welches sich messen und nachverfolgen lässt. Schlussendlich sollte Jeder Jedem über einige dritte Kontakte vertrauen können. Eine entsprechende Suche der Pfade des Vertrauens gibt es hier zu sehen.
Mich fasziniert die Organisation einer solcher Veranstaltung, auch wenn es gestern und im Vorfeld ab und zu Kleinigkeiten gab, die nicht auf Anhieb rollten. Aber darüber darf man getrost hinwegsehen; stattdessen bedanke ich mich bei den Veranstalter für die Organisation. Gerne nehme ich mir wieder einmal Zeit für eine solche Veranstaltung, die manchmal auch in anderen, grösseren Anlässen wie BarCamps, Linux-Tage oder der Ubucon eingebettet ist. Die Arbeit für die einzelnen Teilnehmer folgt nach der Party, wenn die Schlüssel anhand der Fingerabdrücke überprüft und unterschrieben werden. Ausserdem wird der Grad des Vertrauens festgelegt und der öffentliche Teilschlüssel dann dem Inhaber per Mail zugesandt oder direkt auf dem Schlüsselserver geschickt. Ich erledigte diese Arbeit mit Enigmail, einer Erweiterung für Thunderbird, um GnuPG zu nutzen.
Bei dieser Gelegenheit sprach mich Dirk auf CAcert an. Das ist eine freie Variante von SSL-Zertifikaten für verschiedene Zwecke. Da sich an der Keysigning-Party auch einige Leute aus der “CAcert-Szene” tummelten, konnte ich nach einiger Überzeugungs- und Willensarbeit seitens Dirk ein paar Anträge ausfüllen und gleich beglaubigen lassen. Somit komme ich wohl schon bald zu einem Root-Zertifikat. Die ganze Geschichte rund um die CAcert-Zertifikate macht mir einen stabilen und seriösen Eindruck. Ausserdem scheint CAcert eine gelungene Alternative zu den wirtschaftlich getriebenen “öffentlichen Zertifikats-Häusern” zu sein, auch wenn sich CAcert nicht überall sinnreich einsetzen lässt. Mindestens solange nicht, wie die Zertifikate nicht den gleichen Rang wie die andern bekommen und in den Browsern vorinstalliert werden. Aber vielleicht erleben wir das eines fernen Tages.
Ähnliche Artikel
- 6. Dezember 2009 -- PGP-Schlüssel verwalten (1)
- 30. November 2009 -- Keysigning-Party am 11. Dezember in Zürich (3)
- 21. Dezember 2009 -- Zertifikate von CAcert (11)
- 1. März 2010 -- Schutz vor fremdem Zugriff (0)
- 18. November 2009 -- Die nächste Ubuntu-Party im Zürcher Oberland (17)
12. Dezember 2009 um 10:21 Uhr
Danke für diesen Artikel. Ich bin auch auf der Suche nach einem Root-Zertifikat und quäle mich schon seit Monaten mir eins zu zulegen. Zum Punkt:
“… Ausserdem scheint CAcert eine gelungene Alternative zu den wirtschaftlich getriebenen “öffentlichen Zertifikats-Häusern” zu sein, auch wenn sich CAcert nicht überall sinnreich einsetzen lässt. …”
Magst Du dazu mal ein wenig drauf eingehen? Was meinst Du damit genau?
Gruß,
Adrian
12. Dezember 2009 um 10:27 Uhr
Hallo Adrian
CAcert als Registrierungsstelle ist leider noch nicht in den Browsern eingetragen. Das heisst, dass beim Aufruf einer Seite, die ein Zertifikat von CAcert nutzt, eine “Fehlermeldung” erscheint, dass dem Zertifikat nicht vertraut wird. Man muss dann die berühmte Ausnahmeregelung nutzen. Es sind ja Bemühungen zusammen mit der Mozilla-Foundation da, CAcert als vollwertige Zertifizierungsstelle anzuerkennen, so wie zum Beispiel CertPlus und wie sie alle heissen. Dann würde die “Fehlermeldung” nicht mehr erscheinen. Das ist die Einschränkung.
12. Dezember 2009 um 12:55 Uhr
Es gab auch noch Thawte. Das ist jetzt aber auch vorbei:
http://www.heise.de/security/m.....22145.html
Ich persönlich bin Verfechter von CA und schon seit 2006 Assurer. Die Zertifikate sind _wesentlich_ praktikabler als der HickHack mit pgp und den Plugins/Erweiterungen in allen möglichen Applikationen. Angesichts dieser Tatsachen glaube ich solche Partys sind eher als ein social Event nützlich …
Wer bei CACert Punkte will kann einfach die Suche auf der Website benutzen und die Assurer in seiner Umgebung anschreiben.
12. Dezember 2009 um 12:59 Uhr
Zwei Anmerkungen zu CAcert:
Du bekommst kein root-Zertifikat, das ist den Organisationen vorbehalten, aber Du bekommst signierte SSL-Zertifikate, die Du für Webserver (https) oder E-Mail-Server (IMAPS, SMTPS, POP3S) einsetzen kannst.
Es ist in Arbeit, CAcert in die Liste der vertrauenswürdigen Zertifikatsanbieter in Firefox aufzunehmen. Bis das so weit ist, lohnt es sich, die beiden root-Zertifikate von CAcert (guck mal hier http://www.cacert.org/index.php?id=3) einfach aufzunehmen.
Auf dieser Seite hier http://wiki.cacert.org/ImportRootCert gibt es die englischsprachige Anleitung, wie man verschiedenen Programmen beibringen kann, CAcert-signierten Zertifikaten zu vertrauen.