Abo
  • Services:
Anzeige
Cacert verliert die Unterstützung durch Debian.
Cacert verliert die Unterstützung durch Debian. (Bild: Cacert)

Zertifizierungsstelle: Ungewisse Zukunft für Cacert

Cacert verliert die Unterstützung durch Debian.
Cacert verliert die Unterstützung durch Debian. (Bild: Cacert)

Die Zertifikate von Cacert werden aus verschiedenen Linux-Distributionen entfernt. Manche sehen darin das Ende des Projekts, das der kommerziellen Konkurrenz eine Community-basierte Zertifizierungsstelle entgegensetzen wollte.

Die Linux-Distribution Debian hat nach einer längeren Diskussion im Bugtracker des Projekts Ende Februar die Zertifikate der freien Zertifizierungsstelle Cacert entfernt. Das Debian-Paket wird von verschiedenen anderen Distributionen als Basis für die mitgelieferten Zertifikate genutzt. Ubuntu hat bereits reagiert und Cacert ebenfalls entfernt.

Anzeige

Cacert ist ein Projekt, welches versucht, eine Zertifizierungsstelle für S/MIME- und TLS-Zertifikate auf Basis einer Community zu organisieren. Das Problem von Cacert war es seit jeher, dass die Root-Zertifikate von den meisten Browsern nicht akzeptiert wurden. Keiner der gängigen Browser wie Mozilla, Chrome oder der Internet Explorer erkennt somit Cacert-Zertifikate in der Standardkonfiguration als gültig an, Nutzer müssen hierfür zunächst das passende Root-Zertifikat importieren.

Kein Browser akzeptiert Cacert

Das große Ziel des Projekts war es daher seit jeher, in den Zertifikatsstore von Mozilla aufgenommen zu werden. Die Hoffnung: Sobald die Zertifikate von Mozilla akzeptiert werden, würden auch andere Browser nachziehen und Cacert aufnehmen. Mozilla war einer solchen Aufnahme nicht generell abgeneigt, allerdings forderte man von Cacert, ein Sicherheitsaudit durchzuführen. Zwischen 2006 und 2009 wurde in Zusammenarbeit mit dem Sicherheitsforscher Ian Grigg der Versuch unternommen, ein solches Audit durchzuführen, doch es scheiterte letztendlich aus verschiedenen Gründen. Cacert wollte daraufhin zunächst einige interne organisatorische Fragen klären, bevor ein neues Audit in Angriff genommen wird. Doch dazu kam es bis heute nicht.

Debian hatte lange Zeit die Zertifikate von Cacert im systemweiten Paket ca-certificates mitgeliefert. Für Browser wie Firefox oder Chromium war das allerdings auch unter der Linux-Distribution irrelevant, denn diese bringen ihre eigenen Listen von akzeptierten Root-Zertifikaten mit. Nur einige kleinere Tools wie beispielsweise das Kommandozeilenprogramm wget nutzten die systemweite Zertifikatsliste. Die Entscheidung von Debian, Cacert nun zu entfernen, war nicht unumstritten. Viele Nutzer merkten in Kommentaren an, dass es zahlreiche Skandale um andere Zertifizierungsstellen in den vergangenen Jahren gab, weil diese falsche Zertifikate ausgestellt hatten. Nur in einem einzigen Fall - bei der niederländischen Zertifizierungsstelle Diginotar - wurde daraufhin das Root-Zertifikat der entsprechenden Zertifizierungsstelle entfernt. Alle anderen sind weiterhin aktiv und werden auch von Debian mitgeliefert.

Die Idee von Cacert ist es, dass die Identität neuer Teilnehmer des Systems durch bereits aktive Cacert-Mitglieder geprüft wird. Bei jeder Prüfung (Assurance) sammelt man Punkte und kann ab einer bestimmten Punktzahl andere Neumitglieder prüfen. Nutzer, die genügend Punkte haben, können sich daraufhin beliebig viele kostenlose Zertifikate für eigene Domains und E-Mail-Adressen ausstellen lassen. Der Quellcode von Cacert steht unter der GPL, deshalb ist die Zertifizierungsstelle vor allem in der freien Software-Community beliebt.

Kostenlose Zertifikate bei StartSSL

Seit der Gründung von Cacert hat sich einiges im Sachen Zertifizierungsstellen geändert. Mit StartSSL gibt es inzwischen eine von allen gängigen Browsern akzeptierte Zertifizierungsstelle, die ebenfalls kostenlose Zertifikate ausstellt. Zudem gibt es einen Trend dahingehend, dass das simple Wegklicken von Zertifikatswarnungen im Browser nicht mehr einfach möglich sein soll. Wenn beispielsweise eine Webseite mit dem HSTS-Header ausgeliefert wird, welcher dem Browser anzeigt, dass die Seite überhaupt nicht mehr via HTTP erreichbar sein soll, blockieren moderne Browser das Ansurfen der entsprechenden Seite ohne gültiges Zertifikat komplett.

Von Cacert war zuletzt zu hören, dass es vor allem an aktiven Freiwilligen fehlt, die dabei helfen, ein neues Audit vorzubereiten. Bei der Entwicklung der Software und beim Betrieb der Infrastruktur gebe es noch einige Baustellen, bei denen Hilfe gebraucht wird. Eine offizielle Reaktion auf die Entfernung aus Debian und anderen Linux-Distributionen gibt es bislang nicht, die letzte Pressemeldung von Cacert auf dem Projektblog erklärt, dass im Zuge des NSA-Skandals die Zahl der Cacert-Nutzer deutlich angestiegen ist.


eye home zur Startseite
Bachsau 19. Nov 2014

Es macht keinen Unterschied, ob man das Geld direkt kassiert oder als Bezahlung für einen...

Bachsau 29. Mär 2014

Das ist alles. Auch für Mozilla ist nur vertrauenswürdig, wer den dicken Geldbeutel hat.

AndreasB 26. Mär 2014

Außerdem hat bei diesen oben genannten "Großen", zu denen auch Verisgn gehört, die NSA...

jayrworthington 25. Mär 2014

Für Deinen privaten webmin-access, ja, Du klickst einmal (bei Firefox: 28 mal...



Anzeige

Stellenmarkt
  1. BRZ Deutschland GmbH, Nürnberg
  2. HUK-COBURG Versicherungsgruppe, Coburg
  3. SBK Siemens-Betriebskrankenkasse, München
  4. über duerenhoff GmbH, Raum Stuttgart


Anzeige
Blu-ray-Angebote
  1. (u. a. Logan Blu-ray 9,97€, Deadpool Blu-ray 8,97€, Fifty Shades of Grey Blu-ray 11,97€)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Microsoft

    Windows on ARM ist inkompatibel zu 64-Bit-Programmen

  2. Fehler bei Zwei-Faktor-Authentifizierung

    Facebook will keine Benachrichtigungen per SMS schicken

  3. Europa-SPD

    Milliardenfonds zum Ausbau von Elektrotankstellen gefordert

  4. Carbon Copy Cloner

    APFS-Unterstützung wird wegen Datenverlustgefahr beschränkt

  5. Die Woche im Video

    Spezialeffekte und Spoiler

  6. Virtual RAN

    Telekom und Partner bauen Edge-Computing-Testnetz

  7. Basemental

    Mod erweitert Die Sims 4 um Drogen

  8. Verschlüsselung

    TLS 1.3 ist so gut wie fertig

  9. Colt Technology

    Mobilfunk ist Glasfaser mit Antennen

  10. Robotik

    Defekter Robonaut kommt zurück zur Erde



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

Fujitsu Lifebook U727 im Test: Kleines, blinkendes Anschlusswunder
Fujitsu Lifebook U727 im Test
Kleines, blinkendes Anschlusswunder
  1. Palmsecure Windows Hello wird bald Fujitsus Venenscanner unterstützen
  2. HP und Fujitsu Mechanischer Docking-Port bleibt bis 2019
  3. Stylistic Q738 Fujitsus 789-Gramm-Tablet kommt mit vielen Anschlüssen

Freier Media-Player: VLC 3.0 eint alle Plattformen
Freier Media-Player
VLC 3.0 eint alle Plattformen

  1. Re: Wo ist der Sinn?

    DAGEGEN | 04:19

  2. Re: Kupfer ist besser als eine Antenne

    lyx | 04:10

  3. Re: Wasserstoff wäre billiger

    m8Flo | 03:42

  4. Re: Wieso emuliert man x86 auf ARM, warum...

    baldur | 02:35

  5. Re: Das icht nicht lache

    plutoniumsulfat | 02:21


  1. 19:40

  2. 14:41

  3. 13:45

  4. 13:27

  5. 09:03

  6. 17:10

  7. 16:45

  8. 15:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel