CAcert ist eine gemeinschaftsbetriebene, nicht-kommerzielle Zertifizierungsstelle (Certification Authority, Root-CA oder kurz CA), die kostenfrei X.509-Zertifikate für verschiedene Einsatzgebiete ausstellt. Damit soll eine Alternative zu den kommerziellen Root-CAs geboten werden, die zum Teil recht hohe Gebühren für ihre Zertifikate erheben.

Ein weiterer, wichtiger Punkt ist die Vertrauensbildung der einzelnen Benutzer der Zertifikate und damit der ganze Gemeinschaft von CAcert. Es basiert auf dem Netz des Vertrauens und bietet daher eine ganze Menge Vorteile. Einerseits findet die Identitätsüberprüfung dezentral und damit nicht hierarchisch statt. Jeder kann Mitglieder der Gemeinschaft werden und ein Zertifikat bekommen, soweit ein paar Grundregeln erfüllt sind und eingehalten werden. Andererseits wächst das Netz des Vertrauens genau durch diese dezentrale Struktur immer weiter heran und bietet bereits heute eine gute Alternative zu den kommerziellen Anbietern.

Es gibt aber auch Nachteile. Ich sehe da zurzeit drei Punkte, die allenfalls noch zu verbessern wären. Erstens sind die Root-Zertifikate nicht in den gängigen Browsern und Mail-Programmen integriert, was bei der Verwendung von CAcert-Zertifikaten zu der hässlichen Meldung führt, dass dem Zertifikat nicht vertraut würde, da die Herkunft unklar wäre. Weiter kann CAcert keine Haftung für Firmen wahrnehmen, die ein solches Zertifikat nutzen und sich daraus Ansprüche ableiten liessen. Der zweite Punkt ist weit weniger arg, als der erste. Und schliesslich dürfte es für einen Einsteiger etwas umständlich sein, zu einem Zertifikat zu kommen, wenn er niemanden persönlich kennt und aus der Liste des Assurer jemanden finden soll. Je mehr Assurer es gibt, umso einfacher dürfte diese Herausforderung zu erledigen sein.

Wie dem auch sei; ich konnte nun an der Keysigning-Party in Zürich so viele CAcert-Punkte sammeln, dass ich nun selbst zu einem Assurer (nur mit Login bei CAcert zu erreichen) geworden bin. Ich bedanke mich bei allen Assurern, die meine Identität so bereitwillig geprüft haben. Damit kann das Web of Trust vielleicht wieder ein kleines Stück weiter wachsen und ich werde versuchen, meinen Teil dazu beizutragen.

Bis jetzt setze ich zwar noch kein CAcert-Zertifikat ein, aber das ändert sich hoffentlich bald. Immerhin konnte ich meinen GnuGP-Schlüssel mit CAcert austauschen und unterschreiben.

Ähnliche Artikel

• 15. Mai 2010 -- Keysigning-Party am LinuxTag in Berlin (0)
• 12. Dezember 2009 -- Keysigning-Party zu Zürich und CAcert (4)
• 16. April 2010 -- Aus einer pfx-Datei den privaten Schlüssel exportieren (0)
• 27. Januar 2010 -- Hotmail für die Schweiz (1)
• 30. November 2009 -- Keysigning-Party am 11. Dezember in Zürich (3)

Mich fasziniert die Organisation einer solcher Veranstaltung, auch wenn es gestern und im Vorfeld ab und zu Kleinigkeiten gab, die nicht auf Anhieb rollten. Aber darüber darf man getrost hinwegsehen; stattdessen bedanke ich mich bei den Veranstalter für die Organisation. Gerne nehme ich mir wieder einmal Zeit für eine solche Veranstaltung, die manchmal auch in anderen, grösseren Anlässen wie BarCamps, Linux-Tage oder der Ubucon eingebettet ist. Die Arbeit für die einzelnen Teilnehmer folgt nach der Party, wenn die Schlüssel anhand der Fingerabdrücke überprüft und unterschrieben werden. Ausserdem wird der Grad des Vertrauens festgelegt und der öffentliche Teilschlüssel dann dem Inhaber per Mail zugesandt oder direkt auf dem Schlüsselserver geschickt. Ich erledigte diese Arbeit mit Enigmail, einer Erweiterung für Thunderbird, um GnuPG zu nutzen.

Bei dieser Gelegenheit sprach mich Dirk auf CAcert an. Das ist eine freie Variante von SSL-Zertifikaten für verschiedene Zwecke. Da sich an der Keysigning-Party auch einige Leute aus der “CAcert-Szene” tummelten, konnte ich nach einiger Überzeugungs- und Willensarbeit seitens Dirk ein paar Anträge ausfüllen und gleich beglaubigen lassen. Somit komme ich wohl schon bald zu einem Root-Zertifikat. Die ganze Geschichte rund um die CAcert-Zertifikate macht mir einen stabilen und seriösen Eindruck. Ausserdem scheint CAcert eine gelungene Alternative zu den wirtschaftlich getriebenen “öffentlichen Zertifikats-Häusern” zu sein, auch wenn sich CAcert nicht überall sinnreich einsetzen lässt. Mindestens solange nicht, wie die Zertifikate nicht den gleichen Rang wie die andern bekommen und in den Browsern vorinstalliert werden. Aber vielleicht erleben wir das eines fernen Tages.

Ähnliche Artikel

• 6. Dezember 2009 -- PGP-Schlüssel verwalten (1)
• 15. Mai 2010 -- Keysigning-Party am LinuxTag in Berlin (0)
• 30. November 2009 -- Keysigning-Party am 11. Dezember in Zürich (3)
• 12. August 2010 -- Keysigning-Party am 18. September in Zürich (0)
• 5. Mai 2010 -- Ein Foto im GnuPG-Schlüssel (5)