Abo
  • Services:
Anzeige
Cacert verliert die Unterstützung durch Debian.
Cacert verliert die Unterstützung durch Debian. (Bild: Cacert)

Zertifizierungsstelle: Ungewisse Zukunft für Cacert

Die Zertifikate von Cacert werden aus verschiedenen Linux-Distributionen entfernt. Manche sehen darin das Ende des Projekts, das der kommerziellen Konkurrenz eine Community-basierte Zertifizierungsstelle entgegensetzen wollte.

Anzeige

Die Linux-Distribution Debian hat nach einer längeren Diskussion im Bugtracker des Projekts Ende Februar die Zertifikate der freien Zertifizierungsstelle Cacert entfernt. Das Debian-Paket wird von verschiedenen anderen Distributionen als Basis für die mitgelieferten Zertifikate genutzt. Ubuntu hat bereits reagiert und Cacert ebenfalls entfernt.

Cacert ist ein Projekt, welches versucht, eine Zertifizierungsstelle für S/MIME- und TLS-Zertifikate auf Basis einer Community zu organisieren. Das Problem von Cacert war es seit jeher, dass die Root-Zertifikate von den meisten Browsern nicht akzeptiert wurden. Keiner der gängigen Browser wie Mozilla, Chrome oder der Internet Explorer erkennt somit Cacert-Zertifikate in der Standardkonfiguration als gültig an, Nutzer müssen hierfür zunächst das passende Root-Zertifikat importieren.

Kein Browser akzeptiert Cacert

Das große Ziel des Projekts war es daher seit jeher, in den Zertifikatsstore von Mozilla aufgenommen zu werden. Die Hoffnung: Sobald die Zertifikate von Mozilla akzeptiert werden, würden auch andere Browser nachziehen und Cacert aufnehmen. Mozilla war einer solchen Aufnahme nicht generell abgeneigt, allerdings forderte man von Cacert, ein Sicherheitsaudit durchzuführen. Zwischen 2006 und 2009 wurde in Zusammenarbeit mit dem Sicherheitsforscher Ian Grigg der Versuch unternommen, ein solches Audit durchzuführen, doch es scheiterte letztendlich aus verschiedenen Gründen. Cacert wollte daraufhin zunächst einige interne organisatorische Fragen klären, bevor ein neues Audit in Angriff genommen wird. Doch dazu kam es bis heute nicht.

Debian hatte lange Zeit die Zertifikate von Cacert im systemweiten Paket ca-certificates mitgeliefert. Für Browser wie Firefox oder Chromium war das allerdings auch unter der Linux-Distribution irrelevant, denn diese bringen ihre eigenen Listen von akzeptierten Root-Zertifikaten mit. Nur einige kleinere Tools wie beispielsweise das Kommandozeilenprogramm wget nutzten die systemweite Zertifikatsliste. Die Entscheidung von Debian, Cacert nun zu entfernen, war nicht unumstritten. Viele Nutzer merkten in Kommentaren an, dass es zahlreiche Skandale um andere Zertifizierungsstellen in den vergangenen Jahren gab, weil diese falsche Zertifikate ausgestellt hatten. Nur in einem einzigen Fall - bei der niederländischen Zertifizierungsstelle Diginotar - wurde daraufhin das Root-Zertifikat der entsprechenden Zertifizierungsstelle entfernt. Alle anderen sind weiterhin aktiv und werden auch von Debian mitgeliefert.

Die Idee von Cacert ist es, dass die Identität neuer Teilnehmer des Systems durch bereits aktive Cacert-Mitglieder geprüft wird. Bei jeder Prüfung (Assurance) sammelt man Punkte und kann ab einer bestimmten Punktzahl andere Neumitglieder prüfen. Nutzer, die genügend Punkte haben, können sich daraufhin beliebig viele kostenlose Zertifikate für eigene Domains und E-Mail-Adressen ausstellen lassen. Der Quellcode von Cacert steht unter der GPL, deshalb ist die Zertifizierungsstelle vor allem in der freien Software-Community beliebt.

Kostenlose Zertifikate bei StartSSL

Seit der Gründung von Cacert hat sich einiges im Sachen Zertifizierungsstellen geändert. Mit StartSSL gibt es inzwischen eine von allen gängigen Browsern akzeptierte Zertifizierungsstelle, die ebenfalls kostenlose Zertifikate ausstellt. Zudem gibt es einen Trend dahingehend, dass das simple Wegklicken von Zertifikatswarnungen im Browser nicht mehr einfach möglich sein soll. Wenn beispielsweise eine Webseite mit dem HSTS-Header ausgeliefert wird, welcher dem Browser anzeigt, dass die Seite überhaupt nicht mehr via HTTP erreichbar sein soll, blockieren moderne Browser das Ansurfen der entsprechenden Seite ohne gültiges Zertifikat komplett.

Von Cacert war zuletzt zu hören, dass es vor allem an aktiven Freiwilligen fehlt, die dabei helfen, ein neues Audit vorzubereiten. Bei der Entwicklung der Software und beim Betrieb der Infrastruktur gebe es noch einige Baustellen, bei denen Hilfe gebraucht wird. Eine offizielle Reaktion auf die Entfernung aus Debian und anderen Linux-Distributionen gibt es bislang nicht, die letzte Pressemeldung von Cacert auf dem Projektblog erklärt, dass im Zuge des NSA-Skandals die Zahl der Cacert-Nutzer deutlich angestiegen ist.


eye home zur Startseite
Bachsau 19. Nov 2014

Es macht keinen Unterschied, ob man das Geld direkt kassiert oder als Bezahlung für einen...

Bachsau 29. Mär 2014

Das ist alles. Auch für Mozilla ist nur vertrauenswürdig, wer den dicken Geldbeutel hat.

AndreasB 26. Mär 2014

Außerdem hat bei diesen oben genannten "Großen", zu denen auch Verisgn gehört, die NSA...

jayrworthington 25. Mär 2014

Für Deinen privaten webmin-access, ja, Du klickst einmal (bei Firefox: 28 mal...



Anzeige

Stellenmarkt
  1. Stadtwerke Bonn GmbH, Bonn
  2. operational services GmbH & Co. KG, Braunschweig
  3. IT.Niedersachsen, Hannover
  4. T-Systems International GmbH, verschiedene Standorte


Anzeige
Spiele-Angebote
  1. 48,99€
  2. 699,00€
  3. 299,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Verschlüsselung

    OpenSSL veröffentlicht Version 1.1.0

  2. DJI Osmo+

    Drohnenkamera am Selfie-Stick

  3. Kaffeehaus lädt Smartphone

    Starbucks testet Wireless Charging in Deutschland

  4. Power9

    IBMs 24-Kern-Chip kann 8 TByte RAM pro Sockel nutzen

  5. Für Werbezwecke

    Whatsapp teilt alle Telefonnummern mit Facebook

  6. Domino's

    Die Pizza kommt per Lieferdrohne

  7. IT-Support

    Nasa verzichtet auf Tausende Updates durch HP Enterprise

  8. BGH-Antrag

    Opposition will NSA-Ausschuss zur Ladung Snowdens zwingen

  9. Kollaborationsserver

    Nextcloud 10 verbessert Server-Administration

  10. Exo-Planet

    Der Planet von Proxima Centauri



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xfel: Riesenkamera nimmt Filme von Atomen auf
Xfel
Riesenkamera nimmt Filme von Atomen auf
  1. US Air Force Modifikation der Ionosphäre soll Funk verbessern
  2. Teilchenbeschleuniger Mögliches neues Boson weist auf fünfte Fundamentalkraft hin
  3. Materialforschung Glas wechselt zwischen durchsichtig und schwarz

Deus Ex Mankind Divided im Test: Der Agent aus dem Hardwarelabor
Deus Ex Mankind Divided im Test
Der Agent aus dem Hardwarelabor
  1. Summit Ridge AMDs Zen-Chip ist so schnell wie Intels 1.000-Euro-Core-i7
  2. Doom Denuvo schützt offenbar nicht mehr
  3. Deus Ex angespielt Eine Steuerung für fast jeden Agenten

Avegant Glyph aufgesetzt: Echtes Kopfkino
Avegant Glyph aufgesetzt
Echtes Kopfkino

  1. Re: Ganz einfach

    wasabi | 08:38

  2. Der Hersteller hätte gerne 750EUR...

    donadi | 08:37

  3. Re: Wer nicht Telegram nutzt

    Bleistiftspitze | 08:36

  4. Re: Tja...und Threema will selbst niemand...

    wasabi | 08:35

  5. Re: WC`ehn müsste Linux mittelfristg (ab 2020)

    manudrescher | 08:33


  1. 08:21

  2. 08:05

  3. 07:31

  4. 07:19

  5. 15:54

  6. 15:34

  7. 15:08

  8. 14:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel