Abo
  • Services:

Zertifizierungsstelle: Ungewisse Zukunft für Cacert

Die Zertifikate von Cacert werden aus verschiedenen Linux-Distributionen entfernt. Manche sehen darin das Ende des Projekts, das der kommerziellen Konkurrenz eine Community-basierte Zertifizierungsstelle entgegensetzen wollte.

Artikel veröffentlicht am , Hanno Böck
Cacert verliert die Unterstützung durch Debian.
Cacert verliert die Unterstützung durch Debian. (Bild: Cacert)

Die Linux-Distribution Debian hat nach einer längeren Diskussion im Bugtracker des Projekts Ende Februar die Zertifikate der freien Zertifizierungsstelle Cacert entfernt. Das Debian-Paket wird von verschiedenen anderen Distributionen als Basis für die mitgelieferten Zertifikate genutzt. Ubuntu hat bereits reagiert und Cacert ebenfalls entfernt.

Stellenmarkt
  1. BWI GmbH, Nürnberg, München, Rheinbach
  2. Kassenärztliche Bundesvereinigung, Berlin

Cacert ist ein Projekt, welches versucht, eine Zertifizierungsstelle für S/MIME- und TLS-Zertifikate auf Basis einer Community zu organisieren. Das Problem von Cacert war es seit jeher, dass die Root-Zertifikate von den meisten Browsern nicht akzeptiert wurden. Keiner der gängigen Browser wie Mozilla, Chrome oder der Internet Explorer erkennt somit Cacert-Zertifikate in der Standardkonfiguration als gültig an, Nutzer müssen hierfür zunächst das passende Root-Zertifikat importieren.

Kein Browser akzeptiert Cacert

Das große Ziel des Projekts war es daher seit jeher, in den Zertifikatsstore von Mozilla aufgenommen zu werden. Die Hoffnung: Sobald die Zertifikate von Mozilla akzeptiert werden, würden auch andere Browser nachziehen und Cacert aufnehmen. Mozilla war einer solchen Aufnahme nicht generell abgeneigt, allerdings forderte man von Cacert, ein Sicherheitsaudit durchzuführen. Zwischen 2006 und 2009 wurde in Zusammenarbeit mit dem Sicherheitsforscher Ian Grigg der Versuch unternommen, ein solches Audit durchzuführen, doch es scheiterte letztendlich aus verschiedenen Gründen. Cacert wollte daraufhin zunächst einige interne organisatorische Fragen klären, bevor ein neues Audit in Angriff genommen wird. Doch dazu kam es bis heute nicht.

Debian hatte lange Zeit die Zertifikate von Cacert im systemweiten Paket ca-certificates mitgeliefert. Für Browser wie Firefox oder Chromium war das allerdings auch unter der Linux-Distribution irrelevant, denn diese bringen ihre eigenen Listen von akzeptierten Root-Zertifikaten mit. Nur einige kleinere Tools wie beispielsweise das Kommandozeilenprogramm wget nutzten die systemweite Zertifikatsliste. Die Entscheidung von Debian, Cacert nun zu entfernen, war nicht unumstritten. Viele Nutzer merkten in Kommentaren an, dass es zahlreiche Skandale um andere Zertifizierungsstellen in den vergangenen Jahren gab, weil diese falsche Zertifikate ausgestellt hatten. Nur in einem einzigen Fall - bei der niederländischen Zertifizierungsstelle Diginotar - wurde daraufhin das Root-Zertifikat der entsprechenden Zertifizierungsstelle entfernt. Alle anderen sind weiterhin aktiv und werden auch von Debian mitgeliefert.

Die Idee von Cacert ist es, dass die Identität neuer Teilnehmer des Systems durch bereits aktive Cacert-Mitglieder geprüft wird. Bei jeder Prüfung (Assurance) sammelt man Punkte und kann ab einer bestimmten Punktzahl andere Neumitglieder prüfen. Nutzer, die genügend Punkte haben, können sich daraufhin beliebig viele kostenlose Zertifikate für eigene Domains und E-Mail-Adressen ausstellen lassen. Der Quellcode von Cacert steht unter der GPL, deshalb ist die Zertifizierungsstelle vor allem in der freien Software-Community beliebt.

Kostenlose Zertifikate bei StartSSL

Seit der Gründung von Cacert hat sich einiges im Sachen Zertifizierungsstellen geändert. Mit StartSSL gibt es inzwischen eine von allen gängigen Browsern akzeptierte Zertifizierungsstelle, die ebenfalls kostenlose Zertifikate ausstellt. Zudem gibt es einen Trend dahingehend, dass das simple Wegklicken von Zertifikatswarnungen im Browser nicht mehr einfach möglich sein soll. Wenn beispielsweise eine Webseite mit dem HSTS-Header ausgeliefert wird, welcher dem Browser anzeigt, dass die Seite überhaupt nicht mehr via HTTP erreichbar sein soll, blockieren moderne Browser das Ansurfen der entsprechenden Seite ohne gültiges Zertifikat komplett.

Von Cacert war zuletzt zu hören, dass es vor allem an aktiven Freiwilligen fehlt, die dabei helfen, ein neues Audit vorzubereiten. Bei der Entwicklung der Software und beim Betrieb der Infrastruktur gebe es noch einige Baustellen, bei denen Hilfe gebraucht wird. Eine offizielle Reaktion auf die Entfernung aus Debian und anderen Linux-Distributionen gibt es bislang nicht, die letzte Pressemeldung von Cacert auf dem Projektblog erklärt, dass im Zuge des NSA-Skandals die Zahl der Cacert-Nutzer deutlich angestiegen ist.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 399€ (Wert der Spiele rund 212€)
  3. 199€ + Versand
  4. 169,90€ + Versand

Bachsau 19. Nov 2014

Es macht keinen Unterschied, ob man das Geld direkt kassiert oder als Bezahlung für einen...

Bachsau 29. Mär 2014

Das ist alles. Auch für Mozilla ist nur vertrauenswürdig, wer den dicken Geldbeutel hat.

AndreasB 26. Mär 2014

Außerdem hat bei diesen oben genannten "Großen", zu denen auch Verisgn gehört, die NSA...

jayrworthington 25. Mär 2014

Für Deinen privaten webmin-access, ja, Du klickst einmal (bei Firefox: 28 mal...


Folgen Sie uns
       


Demo gegen Uploadfilter in Berlin - Bericht

Impressionen von der Demonstration am 23. März 2019 gegen die Uploadfilter in Berlin.

Demo gegen Uploadfilter in Berlin - Bericht Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Falcon Heavy: Beim zweiten Mal wird alles besser
Falcon Heavy
Beim zweiten Mal wird alles besser

Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
Von Frank Wunderlich-Pfeiffer und dpa

  1. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
  2. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers
  3. Raumfahrt SpaceX - Die Rückkehr des Drachen

Online-Banking: In 150 Tagen verlieren die TAN-Zettel ihre Gültigkeit
Online-Banking
In 150 Tagen verlieren die TAN-Zettel ihre Gültigkeit

Zum 14. September 2019 wird ein wichtiger Teil der Zahlungsdiensterichtlinie 2 für die meisten Girokonto-Kunden mit Online-Zugang umgesetzt. Die meist als indizierte TAN-Liste ausgegebenen Transaktionsnummern können dann nicht mehr genutzt werden.
Von Andreas Sebayang

  1. Banking-App Comdirect empfiehlt, Sicherheitswarnung zu ignorieren

    •  /