CAcert
CAcert ist eine gemeinschaftsbetriebene nicht-kommerzielle Zertifizierungsstelle (Root-CA), die kostenfrei X.509-Zertifikate für verschiedene Einsatzgebiete ausstellt. Damit soll eine Alternative zu den kommerziellen Root-CAs geboten werden, die zum Teil recht hohe Gebühren für ihre Zertifikate erheben.
Zertifikate
Client-Zertifikate
Direkt nach einer Registrierung bei CAcert lassen sich sofort Client-Zertifikate ausstellen. Diese enthalten nur die durch eine automatische Testmail überprüfte E-Mail Adresse, als Name (CN) wird "CAcert WoT User" eingetragen. Nach einer Bestätigung der eigenen Person durch andere Mitglieder des CACert-Web-of-Trust lassen sich auch personalisierte Zertifikate mit eingetragenem Namen ausstellen.
Sie dienen zum Beispiel zum Verschlüsseln und Signieren von E-Mails und anderen Daten, aber auch Authentifikation an Servern oder zum Signieren von Softwarecode.
Als Sonderfall der Client-Zertifikate können auch PGP-Schlüssel signiert werden.
Server-Zertifikate
Server-Zertifikate sollen die Zugehörigkeit eines Servers zu einer Person oder Unternehmen bestätigen und dienen als Basis für verschlüsselte SSL/TLS-Verbindungen. Es gibt verschiedene Dienste, bei denen Server-Zertifikate zum Einsatz kommen. Dazu gehören u. a. HTTPS, FTP(S), SMTP(S), POP(S) und IMAP(S).
Assurance/Identitätsprüfung
Im Gegensatz zu vielen kommerziellen Zertifikats-Ausstellern, findet bei CAcert keine zentralisierte Identitätsüberprüfung beim Aussteller statt. Dadurch können zum einen Zertifikate ohne Gebühr ausgestellt werden. Zum anderen jedoch ist es durch die dezentrale Struktur der Identitätsprüfung für den Einzelnen unmöglich, deren Ablauf nachzuvollziehen. Dies kann als Sicherheitsrisiko ausgelegt werden.
Jedem kostenfrei erstellbaren CACert-Benutzerkonto sind Punkte (Assurance Points) zugeordnet, die auf verschiedenen Wegen von anfänglich 0 bis auf 150 Punkte erhöht werden können. Die Punkte geben an, wie genau die Identität eines Benutzers von anderen Mitgliedern des CAcert-Mitgliedern (sog. überprüft wurde (bis 100 Punkte) bzw. wieviele Punkte er beim Überprüfen der Identität eines anderen Benutzers vergeben darf (ab 100 Punkten).
Die Authentifikation der eigenen Identität gegenüber CAcert kann auf zwei Arten erfolgen:
* Zum einen besteht ein Netzwerk aus Freiwilligen (Web of Trust), gegenüber denen sich der neue Benutzer ausweisen kann, um Punkte zu erhalten. Diese können maximal 35 Punkte vergeben. Bei besonderen Veranstaltungen wie z. B. Messen können Super-Assurer sofort die maximalen 150 Punkte vergeben.
* Zum anderen sind 'Vertrauenswürdige Dritte' (Trusted Third Parties) wie Notare zugelassen, die aufgrund ihrer Position (Beruf) die Identität des Benutzers bestätigen können. Hier können auch bis zu 150 Punkte erlangt werden. Dazu müssen zwei Bestätigungen samt Ausweiskopien an die Zentrale in Australien geschickt werden. Das TTP-Verfahren wird in Deutschland allerdings nicht mehr durchgeführt, da hier eine Flächendeckung durch bereits vorhandene Assurer besteht.
Natürlich ist davon auszugehen, dass die engagierten Freiwilligen ein hohes Maß an Gewissenhaftigkeit an den Tag legen, dennoch ist es nicht ausgeschlossen, dass nicht existente Phantom-Identitäten durch einen kleinen Verbund böswilliger Mitglieder in das System eingeschleust werden.
Vertrauenswürdigkeit
CAcert ist in den meisten E-Mail-Clients und Webbrowsern noch nicht in der Zertifikatsdatenbank als vertrauenswürdige Zertifizierungstelle eingetragen oder von einer dort eingetragenen Root CA zertifiziert.
Ein Benutzer, der versucht eine Verbindung zu einem Server aufzubauen, der über ein CAcert-Zertifikat verfügt, wird eine Meldung erhalten, dass die Herkunft des Zertifikates nicht überprüft werden konnte. Analog kann man die E-Mail Signatur eines Client-Zertifikats nicht prüfen.
Indem die Root-Zertifikate von CAcert manuell importiert und als vertrauenswürdig eingestuft werden, kann erreicht werden das alle von CAcert herausgegebenen Zertifikate ohne Warnung angenommen werden.
Die Herausgeber von E-Mail-Clients und Webbrowsern sind sehr kritisch bei der Abwägung, welche Zertifizierungsstellen von vornherein in die Liste der vertrauenswürdigen Herausgeber ihrer Programme eingetragen werden und setzen deshalb umfangreiche Prüfungen voraus.
Bestrebungen seitens CAcert, in freier Software der Mozilla-Familie (Bsp.: Firefox, Thunderbird) als vertrauenswürdiger Herausgeber integriert zu werden, wurden von der Entwicklergemeinschaft bis jetzt abgelehnt. Begründet wird dies vor allem mit der unzureichenden Dokumentation der Arbeitsweise sowie der undurchsichtigen Struktur der Organisation. CAcert unterzieht sich gerade einem Audit, um diese Auflagen zu erfüllen.
Organisation
Träger von CAcert ist die CAcert Association, eine in Australien eingetragene gemeinnützige Organisation, der man für einen Mitgliedsbeitrag von 10 USD pro Jahr beitreten kann. Mitglieder haben die Berechtigung den Vorstand zu wählen bzw. selbst zu kandidieren. Das Ausstellen von Zertifikaten oder die Teilnahme am Web of Trust erfordert allerdings keine Mitgliedschaft.
Hilfe zu CAcert
* per IRC im #cacert.ger auf [irc://irc.cacert.org/cacert.ger irc.cacert.org]
* per Kontaktformular auf [http://www.cacert.org/index.php?id=11&lang=de_DE www.cacert.de]
* per E-Mail an [mailto:support@cacert.org support@cacert.org]
Siehe auch
Public Key Infrastructure
Elektronische Unterschrift
Weblinks
• CAcert.org
• FAQ und umfangreiche Dokumentation zu CAcert
• Deutsches Forum
• Philipp Gühring von CAcert im Interview (Audio) mit RadioTux
• Henrik Heigl von CAcert im Interview (Audio) mit Chaosradio Express
• Bericht im Deutschlandfunk vom 24.3.07
