• IT-Karriere:
  • Services:

Zertifizierungsstelle: Ungewisse Zukunft für Cacert

Die Zertifikate von Cacert werden aus verschiedenen Linux-Distributionen entfernt. Manche sehen darin das Ende des Projekts, das der kommerziellen Konkurrenz eine Community-basierte Zertifizierungsstelle entgegensetzen wollte.

Artikel veröffentlicht am , Hanno Böck
Cacert verliert die Unterstützung durch Debian.
Cacert verliert die Unterstützung durch Debian. (Bild: Cacert)

Die Linux-Distribution Debian hat nach einer längeren Diskussion im Bugtracker des Projekts Ende Februar die Zertifikate der freien Zertifizierungsstelle Cacert entfernt. Das Debian-Paket wird von verschiedenen anderen Distributionen als Basis für die mitgelieferten Zertifikate genutzt. Ubuntu hat bereits reagiert und Cacert ebenfalls entfernt.

Stellenmarkt
  1. Dr. August Oetker Nahrungsmittel KG, Bielefeld
  2. Aigner Immobilien GmbH, München Sendling

Cacert ist ein Projekt, welches versucht, eine Zertifizierungsstelle für S/MIME- und TLS-Zertifikate auf Basis einer Community zu organisieren. Das Problem von Cacert war es seit jeher, dass die Root-Zertifikate von den meisten Browsern nicht akzeptiert wurden. Keiner der gängigen Browser wie Mozilla, Chrome oder der Internet Explorer erkennt somit Cacert-Zertifikate in der Standardkonfiguration als gültig an, Nutzer müssen hierfür zunächst das passende Root-Zertifikat importieren.

Kein Browser akzeptiert Cacert

Das große Ziel des Projekts war es daher seit jeher, in den Zertifikatsstore von Mozilla aufgenommen zu werden. Die Hoffnung: Sobald die Zertifikate von Mozilla akzeptiert werden, würden auch andere Browser nachziehen und Cacert aufnehmen. Mozilla war einer solchen Aufnahme nicht generell abgeneigt, allerdings forderte man von Cacert, ein Sicherheitsaudit durchzuführen. Zwischen 2006 und 2009 wurde in Zusammenarbeit mit dem Sicherheitsforscher Ian Grigg der Versuch unternommen, ein solches Audit durchzuführen, doch es scheiterte letztendlich aus verschiedenen Gründen. Cacert wollte daraufhin zunächst einige interne organisatorische Fragen klären, bevor ein neues Audit in Angriff genommen wird. Doch dazu kam es bis heute nicht.

Debian hatte lange Zeit die Zertifikate von Cacert im systemweiten Paket ca-certificates mitgeliefert. Für Browser wie Firefox oder Chromium war das allerdings auch unter der Linux-Distribution irrelevant, denn diese bringen ihre eigenen Listen von akzeptierten Root-Zertifikaten mit. Nur einige kleinere Tools wie beispielsweise das Kommandozeilenprogramm wget nutzten die systemweite Zertifikatsliste. Die Entscheidung von Debian, Cacert nun zu entfernen, war nicht unumstritten. Viele Nutzer merkten in Kommentaren an, dass es zahlreiche Skandale um andere Zertifizierungsstellen in den vergangenen Jahren gab, weil diese falsche Zertifikate ausgestellt hatten. Nur in einem einzigen Fall - bei der niederländischen Zertifizierungsstelle Diginotar - wurde daraufhin das Root-Zertifikat der entsprechenden Zertifizierungsstelle entfernt. Alle anderen sind weiterhin aktiv und werden auch von Debian mitgeliefert.

Die Idee von Cacert ist es, dass die Identität neuer Teilnehmer des Systems durch bereits aktive Cacert-Mitglieder geprüft wird. Bei jeder Prüfung (Assurance) sammelt man Punkte und kann ab einer bestimmten Punktzahl andere Neumitglieder prüfen. Nutzer, die genügend Punkte haben, können sich daraufhin beliebig viele kostenlose Zertifikate für eigene Domains und E-Mail-Adressen ausstellen lassen. Der Quellcode von Cacert steht unter der GPL, deshalb ist die Zertifizierungsstelle vor allem in der freien Software-Community beliebt.

Kostenlose Zertifikate bei StartSSL

Seit der Gründung von Cacert hat sich einiges im Sachen Zertifizierungsstellen geändert. Mit StartSSL gibt es inzwischen eine von allen gängigen Browsern akzeptierte Zertifizierungsstelle, die ebenfalls kostenlose Zertifikate ausstellt. Zudem gibt es einen Trend dahingehend, dass das simple Wegklicken von Zertifikatswarnungen im Browser nicht mehr einfach möglich sein soll. Wenn beispielsweise eine Webseite mit dem HSTS-Header ausgeliefert wird, welcher dem Browser anzeigt, dass die Seite überhaupt nicht mehr via HTTP erreichbar sein soll, blockieren moderne Browser das Ansurfen der entsprechenden Seite ohne gültiges Zertifikat komplett.

Von Cacert war zuletzt zu hören, dass es vor allem an aktiven Freiwilligen fehlt, die dabei helfen, ein neues Audit vorzubereiten. Bei der Entwicklung der Software und beim Betrieb der Infrastruktur gebe es noch einige Baustellen, bei denen Hilfe gebraucht wird. Eine offizielle Reaktion auf die Entfernung aus Debian und anderen Linux-Distributionen gibt es bislang nicht, die letzte Pressemeldung von Cacert auf dem Projektblog erklärt, dass im Zuge des NSA-Skandals die Zahl der Cacert-Nutzer deutlich angestiegen ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 299,90€
  2. täglich Hardware zu gewinnen
  3. (u. a. Cooler Master MasterCase H100 PC-Gehäuse für 44,72€, Taotronics Over-Ear-Kopfhörer für...
  4. (u. a. Laptop-Ständer für 13,99€, 4K-HDMI-Kabel für 5,21€, Mechanische Gaming-Tastatur für...

Bachsau 19. Nov 2014

Es macht keinen Unterschied, ob man das Geld direkt kassiert oder als Bezahlung für einen...

Bachsau 29. Mär 2014

Das ist alles. Auch für Mozilla ist nur vertrauenswürdig, wer den dicken Geldbeutel hat.

AndreasB 26. Mär 2014

Außerdem hat bei diesen oben genannten "Großen", zu denen auch Verisgn gehört, die NSA...

jayrworthington 25. Mär 2014

Für Deinen privaten webmin-access, ja, Du klickst einmal (bei Firefox: 28 mal...


Folgen Sie uns
       


Playstation 5 ausgepackt

Im Video packt Golem.de aus: Nämlich die Playstation 5 von Sony.

Playstation 5 ausgepackt Video aufrufen
Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

Bluetooth-Hörstöpsel mit ANC im Test: Jabra schlägt Apple, Bose hat andere Vorzüge
Bluetooth-Hörstöpsel mit ANC im Test
Jabra schlägt Apple, Bose hat andere Vorzüge

Wir haben endlich Bluetooth-Hörstöpsel mit Active Noise Cancellation (ANC) gefunden, die mehr bieten als Apples Airpods Pro.
Ein Test von Ingo Pakalski

  1. Freebuds Studio im Test Huawei beißt sich an Sony und Bose die Zähne aus
  2. Musik Yamahas erster Kopfhörer mit ANC-Technik
  3. Elite 85t Jabra bringt kompakte ANC-Hörstöpsel für 230 Euro

Futuristische Schwebebahn im Testbetrieb: Verkehrsmittel der Zukunft für die dritte Dimension
Futuristische Schwebebahn im Testbetrieb
Verkehrsmittel der Zukunft für die dritte Dimension

Eine Schwebebahn für die Stadt, die jeden Passagier zum Wunschziel bringt - bequem, grün, ohne Stau und vielleicht sogar kostenlos. Ist das realistisch?
Ein Bericht von Werner Pluta

  1. ÖPNV Infraserv Höchst baut Wasserstofftankstelle für Züge

    •  /