Let's Encrypt: Audits der kostenfreien CA sind jetzt verfügbar
Zwischendurch gab es ein wenig Aufregung, doch jetzt sind alle Bedingungen erfüllt: Let's Encrypt hat die für eine CA notwendigen unabhängigen Audits veröffentlicht. Offensichtlich lagen diese schon seit September vor.
Let's Encrypt hat die Webtrust-Audits veröffentlicht. Diese sind für den Betrieb einer CA (Certificate Authority) notwendig. Sie wurden von dem Unternehmen Brightline erstellt und lagen Let's Encrypt offenbar schon seit Anfang September vor. Wieso die Berichte nicht schon früher veröffentlicht wurden, ist nicht klar.
Zwischenzeitlich hatte eine deutsche Sicherheitsfirma Kritik an der Zertifikatsvergabe von Let's Encrypt geäußert. Die Firma PSW-Group bietet verschiedene Sicherheitslösungen an und stellt als Reseller auch selbst SSL-Zertifikate zur Verfügung - Let's Encrypt steht also durchaus in Konkurrenz zu dem Unternehmen. Die PSW Group hatte argumentiert, dass Let's Encrypt wegen der fehlenden Audits noch keine Zertifikate ausstellen dürfe.
Andere sehen die Zertifikatsausgabe nicht kritisch: So schreibt Eddy Nigg von StartCom in einem Bugzilla-Post, dass eine neue CA 90 Tage Zeit habe, die Audits vorzulegen, nachdem sie ihr erstes öffentlich vertrautes Zertifikat veröffentlicht habe. Wenn Let's Encrypt die Dokumente nicht rechtzeitig veröffentlicht hätte, wäre Identtrust verpflichtet gewesen, den Cross-Sign mit dem Root-Zertifikat der Initiative vorläufig auf Eis zu legen.
Ein Trick ist das nicht. Das ist ganz normal. Ist aber auch nur für die Übergangsphase...