CAcert

CAcert ist eine gemeinschaftsbetriebene, nicht-kommerzielle Zertifizierungsstelle (Certification Authority, Root-CA oder kurz CA), die kostenfrei X.509-Zertifikate für verschiedene Einsatzgebiete ausstellt. Damit soll eine Alternative zu den kommerziellen Root-CAs geboten werden, die zum Teil recht hohe Gebühren für ihre Zertifikate erheben.

Zertifikate

Client-Zertifikate

Direkt nach einer Registrierung bei CAcert lassen sich sofort Client-Zertifikate ausstellen. Diese enthalten nur die durch eine automatische Testmail überprüfte E-Mail-Adresse, als Name (CN) wird „CAcert WoT User“ eingetragen. Nach einer Bestätigung der eigenen Person durch andere Mitglieder des CACert-Web-of-Trust lassen sich auch personalisierte Zertifikate mit eingetragenem Namen ausstellen. Sie dienen zum Beispiel zum Verschlüsseln und Signieren von E-Mails und anderen Daten, aber auch Authentifikation an Servern oder zum Signieren von Softwarecode (Code-Signing).

Zusätzlich zur Ausstellung von Zertifikaten können auch PGP/OpenPGP-Schlüssel von der Zertifikatsautorität signiert werden.

Server-Zertifikate

Server-Zertifikate sollen die Zugehörigkeit eines Servers zu einer Person oder Unternehmen bestätigen und dienen als Basis für verschlüsselte SSL/TLS-Verbindungen. Es gibt verschiedene Dienste, bei denen Server-Zertifikate zum Einsatz kommen. Dazu gehören u. a. HTTPS, FTP(S), SMTP(S), POP(S) und IMAP(S).

Assurance/Identitätsprüfung

Im Gegensatz zu vielen kommerziellen Zertifikats-Ausstellern findet bei CAcert keine zentralisierte Identitätsüberprüfung beim Aussteller statt. Dadurch können Zertifikate ohne Gebühr ausgestellt werden.

Jedem kostenfrei erstellbaren CAcert-Benutzerkonto sind Punkte (Assurance Points) zugeordnet, die auf verschiedenen Wegen von anfänglich 0 bis auf 150 Punkte erhöht werden können. Die Punkte geben an, wie tief die Identität eines Benutzers von anderen Mitgliedern des CAcert-Mitgliedern überprüft wurde, bzw. wie viele Punkte er beim Überprüfen der Identität eines anderen Benutzers vergeben darf.

Die Authentifizierung der eigenen Identität gegenüber CAcert kann auf zwei Arten erfolgen:

• Zum einen besteht ein Netzwerk aus Freiwilligen (Web of Trust), gegenüber denen sich der neue Benutzer ausweisen kann, um Punkte zu erhalten. Diese Freiwilligen können maximal 35 Punkte vergeben. In vielen Fällen trifft man auf Veranstaltungen zwei bis drei Assurer an, die dann zusammen den Maximalwert verteilen können. Die Assurer haben sich an das Assurer-Handbook 2^[1] zu halten.

• Das Trusted Third Party-Programm, durch das eine Prüfung mittels vertrauenswürdiger Dritter (Notare, Banken, etc.) möglich war, wurde bis auf weiteres eingestellt. Hintergrund ist die Tatsache, dass in den meisten Regionen mittlerweile genügend aktive Assurer vorhanden sind. An einem Ersatz wird jedoch gearbeitet.

Natürlich ist davon auszugehen, dass die engagierten Freiwilligen ein hohes Maß an Gewissenhaftigkeit an den Tag legen, dennoch ist es nicht ausgeschlossen, dass nicht existente Phantom-Identitäten durch einen kleinen Verbund böswilliger Mitglieder in das System eingeschleust werden. Durch ständige Kontrollen, die Möglichkeit der Meldung solcher Vorfälle und eine CAcert-Policy wird dies allerdings weitestgehend ausgeschlossen.

Das Verfahren ist nahezu identisch mit dem am 16. November 2009 eingestellten Web of Trust Verfahren für nichtkommerzielle namensgebundene E-Mail-Zertifikate der Zertifizierungsstelle Thawte Consulting, deren Stammzertifikat jedoch im Gegensatz zu dem von CAcert in nahezu allen gängigen Browsern als vertrauenswürdige Zertifizierungsstelle vorinstalliert war.

Nachdem man 100 Punkte hat, kann man durch andere Assurer keine weiteren Punkte erhalten. Man erhält aber für jede weitere selbst durchgeführte Assurance 2 Punkte gutgeschrieben. Dazu muss man zunächst die Assurer Prüfung bestanden haben. Um also die vollen 150 Punkte zu erhalten muss man 25 Personen bestätigen. Alles über 100 Punkte wird als Experience Points (Erfahrungspunkte) bezeichnet, und gibt an wie viel Punkte man selbst vergeben kann. Ausnahme bilden sogenannte Super-Assurer, die temporär durch das CAcert-Team benannt werden und entweder in Gebieten mit geringer Assurerdichte leben, oder während einer Veranstaltung (z.B. Fachmesse) viele Assurer rekrutieren sollen. Allerdings wird der Super-Assurer-Status u.a. in Deutschland nicht mehr vergeben.

Punkte	Status	Voraussetzung	Bedeutung
000_ ! 0-49	not assured	Verifikation der E-Mail-Adresse	Anonyme Client- und Server-Zertifikate (6 Monate gültig) können ausgestellt werden.
050_ ! 50-99	assured	"	Der Name des Anwenders wird ins Zertifikat aufgenommen, Client- und Server-Zertifikate sind 24 Monate gültig, PGP-Schlüssel können signiert werden.
100_ ! 100	Prospective Assurer	"	Maximale Punktanzahl von anderen Assurern
101_ ! 100-109	Assurer	Bestandene Assurer Prüfung	Dritte können verifiziert werden, maximal 10 Punkte vergebbar, für jede Assurance gibt es 2 Punkte, Erstellung von Code-Signing-Zertifikaten (12 Monate gültig) nach manueller Beantragung möglich
101_ ! 110-119	Assurer	5 Mitglieder Assured	15 Punkte können vergeben werden
101_ ! 120-129	Assurer	10 Mitglieder Assured	20 Punkte können vergeben werden
101_ ! 130-139	Assurer	15 Mitglieder Assured	25 Punkte können vergeben werden
101_ ! 140-149	Assurer	20 Mitglieder Assured	30 Punkte können vergeben werden
150_ ! 150	Assurer	25 Mitglieder Assured	35 Punkte können vergeben werden, maximale Punktezahl als Assurer

^[2]

Ausnahme: Minderjährige Assurer können unabhängig von ihrem Punktestand maximal 10 Punkte vergeben

Vertrauenswürdigkeit

Microsoft Internet Explorer empfiehlt ausdrücklich, die Seite nicht zu betreten.

Mozilla Firefox zeigt eine Fehlermeldung, wenn die CAcert-Rootzertifikate nicht importiert sind

Im Gegensatz zum (ebenfalls kostenlosen) StartCom-Zertifikat ist CAcert in vielen E-Mail-Clients und Webbrowsern noch nicht in der Zertifikatsdatenbank als vertrauenswürdige Zertifizierungsstelle eingetragen oder von einer dort eingetragenen Root CA zertifiziert. Jedoch können bei StartCom keine Zertifikate kostenfrei beantragt werden, bei denen der Name des Anwenders ins Zertifikat aufgenommen wird.

Ein Benutzer, der eine Verbindung zu einem Server mit CAcert-Zertifikat aufbaut, wird daher eine Meldung erhalten, dass die Herkunft des Zertifikates nicht überprüft werden konnte. Analog kann man die E-Mail-Signatur eines Client-Zertifikats nicht prüfen. Der Anwender kann jedoch die Root-Zertifikate von CAcert manuell importieren und damit als vertrauenswürdig einstufen, wonach alle von CAcert herausgegebenen gültigen Zertifikate ohne Warnung angenommen werden. Die Mehrheit der Internetnutzer versteht und vollzieht derartiges Vorgehen jedoch nicht und nimmt die Warnung etwa vor einer „nicht vertrauenswürdigen“ HTTPS-Website ähnlich wahr wie die vor einem Computer-Virus. Im neueren Internet Explorer 7 sowie in Firefox 3 erscheint zudem nicht mehr nur ein Popup „Sicherheitshinweis“, sondern eine Warnung über das ganze Fenster mit der Empfehlung, die Seite nicht zu benutzen. Zertifikate, deren Herausgeber im Browser nicht von vornherein als vertrauenswürdig eingetragen sind, werden durch diesen Abschreckungseffekt für Massenanwendungen zunehmend untauglich.

Bestrebungen seitens CAcert, in freier Software der Mozilla-Familie (Firefox, Thunderbird) als vertrauenswürdiger Herausgeber für ein Root-Zertifikat integriert zu werden, waren bisher erfolglos. Die Mozilla Foundation hat zudem die Kriterien für die Aufnahme neuer Root-Certs öffentlich diskutiert und im Ergebnis verschärft ^[3], wobei alte Certs aber aus praktischen Erwägungen erhalten bleiben. Verlangt wird nun ein Audit, das Organisation, Prozesse und Technik prüft; CAcert selbst habe auf die Entwicklung dieser Kriterien Einfluss gehabt ^[4].

Wegen Umstrukturierungen in der Leitung von CAcert hat die Organisation Ende April 2007, nach 3 1/2 Jahren Diskussion mit der Mozilla Foundation, kurzzeitig den Antrag auf Aufnahme in die Root Chain der Mozilla Produkte zurückgestellt ^[5]. Seitdem wird an dem Audit, welches zur Aufnahme notwendig ist, und an anderen Qualitätssicherungsmaßnamen weiter gearbeitet.

Eine Reihe von anderen Softwareprodukten sowie Open-Source-Distributionen haben das CAcert-Root-Zertifikat jedoch integriert ^[6].

Organisation

Träger von CAcert ist die CAcert Association, eine in Australien eingetragene gemeinnützige Organisation. Mitglieder haben die Berechtigung, den Vorstand zu wählen bzw. selbst zu kandidieren. Die Mitgliedschaft in der Association kann allerdings nur erlangt werden, wenn 2 Mitglieder den Anwärter unterstützen und das Board zustimmt. Für das Ausstellen von Zertifikaten oder die Teilnahme am Web of Trust ist keine Mitgliedschaft in der Association erforderlich. In Deutschland wurde am 19. August 2009 der Verein CAcert Deutschland (e.V.) in Berlin gegründet, die Eintragung in das Vereinsregister ist anhängig.

Weblinks

• CAcert.org
• Henrik Heigl von CAcert im Interview (Audio) mit Chaosradio Express vom 7. Mai 2006
• Podcast vom Hackerfunk mit dem Thema CAcert vom 18. Juni 2010
• Bericht im Deutschlandfunk vom 24. März 2007
• Ein CAcert Howto für Anwender

Einzelnachweise

1. ↑ siehe http://wiki.cacert.org/wiki/AssuranceHandbook2
2. ↑ http://www.cacert.org/index.php?id=19
3. ↑ 'Mozilla CA Certificate Policy', mozilla.org, 16. März 2007
4. ↑ 'CAcert root cert inclusion into browser', bugzilla.mozilla.org, 27. April 2007
5. ↑ 'CAcert root cert inclusion into browser', bugzilla.mozilla.org, 27. April 2007
6. ↑ 'CAcert Wiki InclusionStatus', wiki.cacert.org, 5. Juni 2007