cacert.org

[Nancy L Henderson]

Hallo,

ich suche Leute die Interesse an http://www.cacert.org haben.
cacert nicht bekannt? Mit deren Hilfe und etwas Bemühung kann man sich eigene Zertifikate für seine eMail-Adresse und später sogar SSl-Zertifikate usw. ausstellen.

Nachteil im Moment noch: SSL-Zertifikate werden noch nicht von den Browsern unterstützt, sie scheinen aber auf einem ganz guten Weg zu sein das zu erreichen.

Was ich suche, erstmal Leute die mir noch min. 30 Punkte geben können damit ich auf die 100 komme und dann Leute dennen ich Punkte geben kann damit ich auf die 150 Punkte komme.

Vielleicht läst sich so ein CaCert Treffen ja einmal im Rahmen eines Ayom ( Bussines & Beer ) Treffens unterbringen?

Oder hat sonst jemand eine gute Idee?

...

 

[Ansgar Berhorn]

QUOTE Nachteil im Moment noch: SSL-Zertifikate werden noch nicht von den Browsern unterstützt, sie scheinen aber auf einem ganz guten Weg zu sein das zu erreichen.

Das ist und bleibt der große Knackpunkt an der Sache.
Man hört leider nichts mehr, wann es das Root-Zertifikat mal in die Browser schaffen könnte.


QUOTE Vielleicht läst sich so ein CaCert Treffen ja einmal im Rahmen eines Ayom ( Bussines & Beer ) Treffens unterbringen?

Oder hat sonst jemand eine gute Idee?

..

Auf Messen wie der Cebit kann man sich am Info-Stand des Projekts autorisieren lassen. Wenn man mehrere Ausweise dabei hat, kann man dann die volle Punktzahl bekommen, die man für die unterschiedlichen Zertifikatebenen braucht.

Insgesamt ist die Idee dahinter sehr gut. Bloß wenn die nicht mal von der Opensource-Gemeinde richtig angenommen wird (immerhin die Opensource-Browser könnten ja die Root-Zertifikate mitliefern), ist fraglich ob das ganze so tragfähig ist.

 

[Jürgen Auer]

Die Vorstellung, daß sich eine Organisation eigenständig ein Root-Zertifikat vergibt, widerspricht der Idee von Zertifikaten unmittelbar.

Wenn eine solche Organisation eine Struktur hat, daß Ideen wie

QUOTE (manuel @ So 21.5.2006, 18:30)Was ich suche, erstmal Leute die mir noch min. 30 Punkte geben können damit ich auf die 100 komme und dann Leute dennen ich Punkte geben kann damit ich auf die 150 Punkte komme.


möglich sind, dann kann ich darüber nur den Kopf schütteln und hoffen, daß dieses Root-Zertifikat niemals den Weg in die Browser findet.

 

[Nancy L Henderson]

Autsch,

klar jAuer du darfst weiterhin irgendwelchen Firmen viel Geld zahlen. Es hindert dich niemand daran! Sei aber bitte nicht so vorschnell mit deinen Aussagen, beruhen sie offenbar nicht auf Wissen sondern Vorurteilen. Ich vergebe mir kein Root-Zertifikat sondern ich beantrage bei CAcert eines nachdem ich meine Identität bei min. 3 Personen (max. 100 Punkte) durch jeweils 2 Ausweise mit Lichtbild nachgewiesen habe.

@ Ansgar ... mit Mozilla wurde wohl verhandelt, letztlich ist dabei aber raus gekommen dass auch Mozilla sich einfach an die normalen Bedingungen hält und keine Aussnahme macht. Finde ich konsequent und es erhöht die Glaubwürdigkeit von beiden, wenn sie den Weg offziell gehen wie jeder andere auch. Ausserdem sollte es mit einer aussreichent starken Community möglich sein den Betrag von immerhin ca. 70.000 $ aufzubringen um sich zertifizieren zu lassen und damit in die Zertifikatsdatenbank aufgenommen zu werden.

 

[Jürgen Auer]

CAcert hat sich ein eigenes Root-Zertifikat erteilt, das ist inakzeptabel und das findet man in wenigen Sekunden heraus, wenn man sich das dortige Root-Zertifikat ansieht. Damit sind alle darauf beruhenden Zertifikate ebenfalls nicht brauchbar.

QUOTE (manuel @ Mo 22.5.2006, 10:29)Ich vergebe mir kein Root-Zertifikat sondern ich beantrage bei CAcert eines nachdem ich meine Identität bei min. 3 Personen (max. 100 Punkte) durch jeweils 2 Ausweise mit Lichtbild nachgewiesen habe.


Dieses Detail bestätigt mich in meiner Ablehnung

 

[Sascha Ahlers]

jAuer hat vollkommen recht, ein SSL-Zertifikat von CACert signieren zu lassen ist total unsinnig, da jeder, wer eine entsprechende Punktezahl hat auch ein SSL-Zertifikat erstellen kann, diese Punktezahl kann man sich außerdem erschleichen, was in der Praxis schon des öfteren vorgekommen ist.
Von daher ist es wohl eine nette Idee, aber in der Praxis ist diese komplett untauglich. Ich möchte auf jedenfall nicht, dass mein Browser ein CACert signiertes Zertifikat einfach so annimmt.

Das System von CACert wurde schon öfters ausgenutzt und wird bestimmt nicht weniger ausgenutzt, wenn bei jedem Browser standardgemäß keine Sicherheitsabfrage mehr kommen würde.
Es geht hier nicht nur um irgendeine kostenlose Möglichkeit etwas zu bekommen, was sonst gutes Geld kostest, sondern um knallharte Sicherheitsaspekte, welche auf der am schwersten zu sicherenden Ebene anstetzen: des normalen Abwenders.
Ich würde vermutlich deren Zertifikat handisch löschen. Es versteht sich von selber, dass ich entsprechende Browser auch nicht weiterempfehlen würden, sondern eher von diesen abraten wurde.
Das ist vermutlich auch einer der Gründe, warum gerade dieses System nicht in der OpenSource-Gemeinde so angenommen wird.



MfG Sascha Ahlers

 

[Nancy L Henderson]

ja ich kann Eure Bedenken verstehen, unbegründet sind die nicht.
Es geht hier auch im Moment eher darum Zertifikate für Firmeninterne oder zumindest eher interne Belange ausstellen zu lassen (vertrauliche eMail-Daten von regelmäßigen Kontakten (PGP Schlüssel Signieren etc.)). Dafür würde auch ein Selfsigned Zertifikat reichen, es ist aber viel angenehmer das über CAcert zu regeln.

Um dieses Zertifikat ernsthaft öffentlich (SSL Zertifikat für Kundenlogin etc) einzusetzten braucht es
1. Eintrag in der Zertifikatsdatenbank
2. natürlich eine etwas verbesserte Struktur, schwarze Schafe auch wieder auszusperren.
-> hier werden aber offenbar brauchbare Lösungen diskutiert.

Aber wenn CAcert die Sicherheitsprobleme in den Griff bekommt und in der Zertfikatsdatenbank aufgenommen ist (Wo vermutlich nicht jeder der genug Geld hat aufgenommen wird) . Ist CAcert meiner Meinung nach eine echte Alternative.

Oder wo seht ihr da einen Denkfehler

 

[Sascha Ahlers]

QUOTE (manuel @ Mo 22.5.2006, 16:28) [...] Es geht hier auch im Moment eher darum Zertifikate für Firmeninterne oder zumindest eher interne Belange ausstellen zu lassen (vertrauliche eMail-Daten von regelmäßigen Kontakten (PGP Schlüssel Signieren etc.)). Dafür würde auch ein Selfsigned Zertifikat reichen, es ist aber viel angenehmer das über CAcert zu regeln. [...]

Hier würde ich eher eine eigene CA aufmachen, welche nicht registiert sein muss, so kann man vermeiden, dass man auf die Rechnersystem das CACert-Zertifikat verteilen muss. Ich könnte so jedenfalls ruhiger Schlafen als wenn ich firmeninterne Angelegenheiten mit einen CACert-Zertifikat bedienen würde, immerhin hat das ja nicht nur unbedingt interne, sondern auch externe Auswirkungen, wenn entsprechende Zertifikate, welche mit CACert signiert wurden, ohne irgendwelche Rückfrage angenommen wird.
Ob hierbei nun das CACert-Zertifikat von dem Administrator auf die Rechner verteilt wird oder vom Anwender angenommen wird, ist bei dieser Überlegung hinfällig. Interne Zertifikate sollten sowieso nach Möglichkeit ohne Rückfrage angenommen werden sollten, das gehört einfach zu, guten Ton. Sprich man sollte auch den entsprechenden öffentlichen Teil der CA auch auf die Rechner transferieren.

Das CACert-System ist meiner Ansicht nach bisher nur eine nette Spielerei, aber nichts womit man produktiv arbeiten sollte, egal ob im internen oder externen Gebrauch.
Ich würde von solchen Pratiken auch dringend abraten!



MfG Sascha Ahlers

 

[freakx0]

Kleiner Nachtrag:

Mozilla vertraut kostenlosen StartCom-Zertifikaten ( http://www.heise.de/newsticker/meldung/73850 )

 

[Sascha Ahlers]

Hab ich auch schon gesehen, im Heise Forum sind auch einige interessante Beitrag dazu.

MfG Sascha Ahlers