CAcert: Unterschied zwischen den Versionen

Aus UUGRN
K (markup)
(Client-Zugriff, Root-Zertifikat importieren)
Zeile 1: Zeile 1:
Bei CAcert handelt es sich um eine Initiative, mit Hilfe eines [[Web of Trust]] (ähnlich dem von [[OpenPGP]]) eine gegenseitige Vertrauensbasis zu schaffen. Zum Einsatz kommen hier jedoch Zertifikate nach [[X.509]], die im Gegensatz zu [[OpenPGP]] von einer zentralen Instanz ([[Certificate Authority]]/CA) unterschrieben werden.
Bei CAcert handelt es sich um eine Initiative, mit Hilfe eines [[Web of Trust]] (ähnlich dem von [[OpenPGP]]) eine gegenseitige Vertrauensbasis zu schaffen. Zum Einsatz kommen hier jedoch Zertifikate nach [[X.509]], die im Gegensatz zu [[OpenPGP]] von einer zentralen Instanz ([[Certificate Authority]]/CA) unterschrieben werden.
== Client ==
Um als Client ein von CAcert signiertes Zertifikat automatisch anzuerkennen, muss der Client das Root-Zertifikat von Cacert kennen.
=== Firefox ===
Mit Firefox unter http://www.cacert.org/index.php?id=3 entsprechend das jeweilige PEM-File aufrufen. Firefox bringt einen Eingabedialog, in dem man das Zertifikat für gewisse Zwecke anerkennen (oder ablehnen) kann.
Der Fingerprint sollte unbedingt mit dem auf der Seite abgebildeten Fingerprint verglichen werden. Die Textinformation mit den Fingerprints selbst ist signiert und kann (sollte) überprüft werden.
{{FIXME|Beschreibung, wie man die Signatur dieser Textinformation prüft}}
=== Internet Explorer ===
Für den Internet Explorer gibt es auf dieser Seite einen speziellen Link.


== Punktevergabe und -Sammeln ==
== Punktevergabe und -Sammeln ==

Version vom 11. Juli 2007, 10:57 Uhr

Bei CAcert handelt es sich um eine Initiative, mit Hilfe eines Web of Trust (ähnlich dem von OpenPGP) eine gegenseitige Vertrauensbasis zu schaffen. Zum Einsatz kommen hier jedoch Zertifikate nach X.509, die im Gegensatz zu OpenPGP von einer zentralen Instanz (Certificate Authority/CA) unterschrieben werden.


Client

Um als Client ein von CAcert signiertes Zertifikat automatisch anzuerkennen, muss der Client das Root-Zertifikat von Cacert kennen.

Firefox

Mit Firefox unter http://www.cacert.org/index.php?id=3 entsprechend das jeweilige PEM-File aufrufen. Firefox bringt einen Eingabedialog, in dem man das Zertifikat für gewisse Zwecke anerkennen (oder ablehnen) kann.

Der Fingerprint sollte unbedingt mit dem auf der Seite abgebildeten Fingerprint verglichen werden. Die Textinformation mit den Fingerprints selbst ist signiert und kann (sollte) überprüft werden.

FIXME: Beschreibung, wie man die Signatur dieser Textinformation prüft (siehe Diskussionsseite)


Internet Explorer

Für den Internet Explorer gibt es auf dieser Seite einen speziellen Link.


Punktevergabe und -Sammeln

Das System basiert hierbei auf sog. "Points", die von "Assurern" vergeben werden - je nachdem, wie "anerkannt" die Assurer ist, bis zu 35 Punkte. Hat man 50 oder mehr dieser Punkte angesammelt, kann man sich Zertifikate für seine EMail mit seinem Namen ausstellen lassen. Ab 100 Punkte (Obergrenze, die man durch andere Assurer erreichen kann) kann man selbst andere bestätigen, zunächst jedoch nur maximal 10 Punkte. Für jede Bestätigung, die man selbst erteilt, bekommt man 2 Punkte. Erreicht man auf diese Weise 150 Punkte, kann man schließlich auch 35 Punkte vergeben.

Achtung:

Alle Assurer sind dazu angehalten, mindestens zwei Lichtbildausweise des "Probanten" zu kontrollieren. Dabei wird keinerlei Kopie oder sonstige Daten dem Ausweis entnommen, lediglich dessen Existenz und Zugehörigkeit überprüft.

Alle die an einer Signing Party teilnehmen wollen, sollten also sicherstellen, mindestens zwei Ausweise mit Bild mitzubringen (z.B. Personalausweis, Führerschein).

CAcert vs. Thawte Web of Trust

So ähnelt dieses System dem älteren Thawte Web of Trust, nur daß man hier nicht von einem kommerziellen Anbieter abhängig ist. Nachteilig ist jedoch, daß das Root-Zertifikat von CAcert bisher noch nicht in gängigen Browsern integriert ist, die Organisation arbeitet jedoch daran. Insbesondere die Mozilla Softwarepalette dürfte diese am ehesten integrieren.

Zusätzlich zu EMail-Zertifikaten kann man sich zudem auch Server-Zertifikate ausstellen und sogar OpenPGP-Schlüssel signieren lassen.

Links