Das Fotonexus-Wiki befindet sich im Testbetrieb.

---

Aus Fotonexus.

[[Hilfe:Cache|Fehler beim Thumbnail-Erstellen]]: convert: unable to open image `/var/www/fotonexus/w/images/c/ca/Wikipedia_lexikon3e.jpg': No such file or directory.

Dieses Dokument entstammt in seiner ersten oder einer späteren Version der deutschsprachigen Wikipedia. Es ist dort zu finden unter dem Stichwort CAcert, die Liste der bisherigen Autoren befindet sich in der Versionsliste; die Originalfassung kann dort auch bearbeitet werden. Alle Texte der Wikipedia und ihre Derivate stehen unter der GNU-Lizenz für freie Dokumentation.

CAcert ist eine gemeinschaftsbetriebene nicht kommerzielle Zertifizierungsstelle (Root-CA), die kostenfrei X.509-Zertifikate für verschiedene Einsatzgebiete ausstellt. Damit soll eine Alternative zu den kommerziellen Root-CAs geboten werden, die zum Teil recht hohe Gebühren für ihre Zertifikate erheben. Die Dienstleistungen der CAcert sind allgemein. Jeder kann sich Zertifikate auf seinem Namen bzw. auf seinen Server ausstellen lassen, nachdem er seine Identität belegt hat.

Inhaltsverzeichnis 1 Zertifikate 1.1 Client-Zertifikate 1.2 Server-Zertifikate 1.3 Signatur des PGP-Schlüssels 2 Assurance/Identitätsprüfung 3 Zertifikatsausgabe 4 Allgemeine Hürde 5 Organisation 6 Hilfe zu CAcert 7 Siehe auch 8 Weblinks

Zertifikate

Folgende Zertifikate und Signaturen werden angeboten:

Client-Zertifikate

Diese Zertifikate sind personalisiert, sie dienen zum Beispiel zum Verschlüsseln und Signieren von E-Mails und anderen Daten, aber auch Authentifikation an Servern oder zum Signieren von Softwarecode.

Server-Zertifikate

Server-Zertifikate stellen die Identität eines Servers sicher und dienen als Basis für verschlüsselte SSL/TLS-Verbindungen. Es gibt verschiedene Dienste, bei denen Server-Zertifikate zum Einsatz kommen. Dazu gehören u. a. HTTPS, FTP(S), SMTP(S), POP(S) und IMAP(S).

Signatur des PGP-Schlüssels

Man kann den eigenen PGP-Schlüssel zur Signatur einreichen. Die CAcert bestätigt dann die Identität des Schlüsselbesitzers.

Assurance/Identitätsprüfung

Um ein Zertifikat zu erhalten, muss man sich zunächst auf der Seite https://www.cacert.org/index.php?id=1 als Benutzer anmelden. Jedem Benutzerkonto sind Punkte (Assurance Points) zugeordnet, die auf verschiedenen Wegen von anfänglich 0 bis auf 150 Punkte erhöht werden können. Die Punkte geben an, wie genau die Identität eines Benutzers überprüft wurde (bis 100 Punkte) bzw. wieviele Punkte er beim Überprüfen der Identität eines anderen Benutzers vergeben darf (ab 100 Punkten).

Die Authentifikation der eigenen Identität gegenüber CAcert kann auf zwei Arten erfolgen:

Zum einen besteht ein Netzwerk aus Freiwilligen (Web of Trust), gegenüber denen sich der neue Benutzer ausweisen kann, um Punkte zu erhalten. Eine Liste der freiwilligen Assurer ist auf der Internetseite zu finden. Sie können maximal 35 Punkte vergeben. Bei besonderen Veranstaltungen wie z.B. Messen können Super-Assurer sofort die maximalen 150 Punkte vergeben.

Zum anderen sind 'Vertrauenswürdige Dritte' (Trusted Third Parties) wie Notare zugelassen, die aufgrund ihrer Position (Beruf) die Identität des Benutzers bestätigen können. Hier können auch bis zu 150 Punkte erlangt werden. Dazu müssen zwei Bestätigungen samt Ausweiskopien an die Zentrale in Australien geschickt werden. Weitere Kosten fallen bei CAcert nicht an. Das TTP-Verfahren wird in Deutschland allerdings nicht mehr durchgeführt, da hier eine Fläechendeckung durch bereits vorhandene Assurer besteht. Andere Länder sind hiervon im Moment noch unbeeinflusst.

Zertifikatsausgabe

Abhängig von der eigenen Punktezahl können bestimmte Zertifikate nicht, oder nur eingeschränkt ausgestellt werden. Ein einfaches E-Mail-S/MIME-Zertifikat kann man bereits ab 0 Punkten bekommen. Für andere Zertifikate (Code Signing, S/MIME-Zertifikate mit Namen) werden mehr Punkte benötigt. Auch die Laufzeit des Zertifikates ist für Benutzer mit wenigen Punkten beschränkt.

Vor der Ausgabe von Zertifikaten wird eine weitere Überprüfung durchgeführt. Der Benutzer muss sich einen Pool an E-Mail-Adressen und Domains anlegen. Jeder Eintrag wird mit einer Testmail verifiziert. Bei Domains kann zwischen mehreren E-Mail-Adressen zur Überprüfung gewählt werden, so etwa den Adressen aus dem Whois-Eintrag oder üblichen Systemverwalterpostfächern, wie root oder webmaster.

Anschließend können für die E-Mail-Adressen Clientzertifikate und für die Domains Server-Zertifikate ausgestellt werden. Dazu erzeugt man sich einen Zertifikatssignaturanfrage (Certificate Signing Request, CSR) und übermittelt sie im Webformular. Das Zertifikat wird erstellt und kann nach kurzer Zeit heruntergeladen werden. Für Clientzertifikate ist die Übermittlung einer Zertifikatssignaturanfrage freiwillig, wird aufgrund der höheren Sicherheit aber dringend empfohlen.

Allgemeine Hürde

CAcert ist in den meisten E-Mail-Clients und Webbrowsern nicht in der Zertifikatsdatenbank als vertrauenswürdige Zertifizierungstelle eingetragen oder von einer dort eingetragenen Root CA zertifiziert. Ein Benutzer, der versucht eine Verbindung zu einem Server aufzubauen, der über ein CAcert-Zertifikat verfügt, wird eine Meldung erhalten, dass die Herkunft des Zertifikates nicht überprüft werden konnte. Analog kann man die Signatur mit einem Client-Zertifikat nicht prüfen.

Durch den Import des CAcert-Root-Zertifikats, das unter https://www.cacert.org/index.php?id=3 erhältlich ist, kann der Benutzer angeben, dass er allen CAcert Zertifikaten vertraut.

Organisation

Träger von CAcert ist die CAcert Association, eine in Australien eingetragene gemeinnützige Organisation, der man für einen Mitgliedsbeitrag von 10 USD pro Jahr beitreten kann. Mitglieder haben die Berechtigung den Vorstand zu wählen bzw. selbst zu kandidieren. Das Ausstellen von Zertifikaten oder die Teilnahme am Web of Trust erfordert allerdings keine Mitgliedschaft.

Hilfe zu CAcert

• per IRC im #cacert.ger auf irc.cacert.org
• per Kontaktformular auf www.cacert.de
• per E-Mail an support@cacert.org

Siehe auch

• Public Key Infrastructure
• Elektronische Unterschrift

Weblinks

• CAcert.org
• FAQ und umfangreiche Dokumentation zu CAcert
• CAcert Österreich
• Deutsches CAcert-Support-Forum
• CAcert auf der Cebit 2007
• Heise Newsticker Meldung zur CeBIT 2005
• Heise Newsticker Meldung zum LinuxTag 2005
• Philipp Gühring von CAcert im Interview (Audio) mit RadioTux
• Henrik Heigl von CAcert im Interview (Audio) mit Chaosradio Express
• weitere Infos für Assurer (Logos, Badges, etc.)
• Bericht im Deutschlandfunk vom 24.3.07

[[Hilfe:Cache|Fehler beim Thumbnail-Erstellen]]: convert: unable to open image `/var/www/fotonexus/w/images/c/ca/Wikipedia_lexikon3e.jpg': No such file or directory.

Dieses Dokument entstammt in seiner ersten oder einer späteren Version der deutschsprachigen Wikipedia. Es ist dort zu finden unter dem Stichwort CAcert, die Liste der bisherigen Autoren befindet sich in der Versionsliste; die Originalfassung kann dort auch bearbeitet werden. Alle Texte der Wikipedia und ihre Derivate stehen unter der GNU-Lizenz für freie Dokumentation.