Zertifizierungsstelle: Ungewisse Zukunft für Cacert

Die Linux-Distribution Debian hat nach einer längeren Diskussion im Bugtracker des Projekts Ende Februar die Zertifikate der freien Zertifizierungsstelle Cacert entfernt. Das Debian-Paket wird von verschiedenen anderen Distributionen als Basis für die mitgelieferten Zertifikate genutzt. Ubuntu hat bereits reagiert und Cacert ebenfalls entfernt.

Cacert ist ein Projekt, welches versucht, eine Zertifizierungsstelle für S/MIME- und TLS-Zertifikate auf Basis einer Community zu organisieren. Das Problem von Cacert war es seit jeher, dass die Root-Zertifikate von den meisten Browsern nicht akzeptiert wurden. Keiner der gängigen Browser wie Mozilla, Chrome oder der Internet Explorer erkennt somit Cacert-Zertifikate in der Standardkonfiguration als gültig an, Nutzer müssen hierfür zunächst das passende Root-Zertifikat importieren.

Kein Browser akzeptiert Cacert

Das große Ziel des Projekts war es daher seit jeher, in den Zertifikatsstore von Mozilla aufgenommen zu werden. Die Hoffnung: Sobald die Zertifikate von Mozilla akzeptiert werden, würden auch andere Browser nachziehen und Cacert aufnehmen. Mozilla war einer solchen Aufnahme nicht generell abgeneigt, allerdings forderte man von Cacert, ein Sicherheitsaudit durchzuführen. Zwischen 2006 und 2009 wurde in Zusammenarbeit mit dem Sicherheitsforscher Ian Grigg der Versuch unternommen, ein solches Audit durchzuführen, doch es scheiterte letztendlich aus verschiedenen Gründen. Cacert wollte daraufhin zunächst einige interne organisatorische Fragen klären, bevor ein neues Audit in Angriff genommen wird. Doch dazu kam es bis heute nicht.

Debian hatte lange Zeit die Zertifikate von Cacert im systemweiten Paket ca-certificates mitgeliefert. Für Browser wie Firefox oder Chromium war das allerdings auch unter der Linux-Distribution irrelevant, denn diese bringen ihre eigenen Listen von akzeptierten Root-Zertifikaten mit. Nur einige kleinere Tools wie beispielsweise das Kommandozeilenprogramm wget nutzten die systemweite Zertifikatsliste. Die Entscheidung von Debian, Cacert nun zu entfernen, war nicht unumstritten. Viele Nutzer merkten in Kommentaren an, dass es zahlreiche Skandale um andere Zertifizierungsstellen in den vergangenen Jahren gab, weil diese falsche Zertifikate ausgestellt hatten. Nur in einem einzigen Fall - bei der niederländischen Zertifizierungsstelle Diginotar - wurde daraufhin das Root-Zertifikat der entsprechenden Zertifizierungsstelle entfernt. Alle anderen sind weiterhin aktiv und werden auch von Debian mitgeliefert.

Die Idee von Cacert ist es, dass die Identität neuer Teilnehmer des Systems durch bereits aktive Cacert-Mitglieder geprüft wird. Bei jeder Prüfung (Assurance) sammelt man Punkte und kann ab einer bestimmten Punktzahl andere Neumitglieder prüfen. Nutzer, die genügend Punkte haben, können sich daraufhin beliebig viele kostenlose Zertifikate für eigene Domains und E-Mail-Adressen ausstellen lassen. Der Quellcode von Cacert steht unter der GPL, deshalb ist die Zertifizierungsstelle vor allem in der freien Software-Community beliebt.

Kostenlose Zertifikate bei StartSSL

Seit der Gründung von Cacert hat sich einiges im Sachen Zertifizierungsstellen geändert. Mit StartSSL gibt es inzwischen eine von allen gängigen Browsern akzeptierte Zertifizierungsstelle, die ebenfalls kostenlose Zertifikate ausstellt. Zudem gibt es einen Trend dahingehend, dass das simple Wegklicken von Zertifikatswarnungen im Browser nicht mehr einfach möglich sein soll. Wenn beispielsweise eine Webseite mit dem HSTS-Header ausgeliefert wird, welcher dem Browser anzeigt, dass die Seite überhaupt nicht mehr via HTTP erreichbar sein soll, blockieren moderne Browser das Ansurfen der entsprechenden Seite ohne gültiges Zertifikat komplett.

Von Cacert war zuletzt zu hören, dass es vor allem an aktiven Freiwilligen fehlt, die dabei helfen, ein neues Audit vorzubereiten. Bei der Entwicklung der Software und beim Betrieb der Infrastruktur gebe es noch einige Baustellen, bei denen Hilfe gebraucht wird. Eine offizielle Reaktion auf die Entfernung aus Debian und anderen Linux-Distributionen gibt es bislang nicht, die letzte Pressemeldung von Cacert auf dem Projektblog erklärt, dass im Zuge des NSA-Skandals die Zahl der Cacert-Nutzer deutlich angestiegen ist.