CAcert

Aus UUGRN
Version vom 11. Juli 2007, 11:12 Uhr von Rabe (Diskussion | Beiträge) (Server // Erstellen eines Server-Zertifikats, Beispiel mit Apache.)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Bei CAcert handelt es sich um eine Initiative, mit Hilfe eines Web of Trust (ähnlich dem von OpenPGP) eine gegenseitige Vertrauensbasis zu schaffen. Zum Einsatz kommen hier jedoch Zertifikate nach X.509, die im Gegensatz zu OpenPGP von einer zentralen Instanz (Certificate Authority/CA) unterschrieben werden.


Client[Bearbeiten]

Um als Client ein von CAcert signiertes Zertifikat automatisch anzuerkennen, muss der Client das Root-Zertifikat von Cacert kennen.

Firefox[Bearbeiten]

Mit Firefox unter http://www.cacert.org/index.php?id=3 entsprechend das jeweilige PEM-File aufrufen. Firefox bringt einen Eingabedialog, in dem man das Zertifikat für gewisse Zwecke anerkennen (oder ablehnen) kann.

Der Fingerprint sollte unbedingt mit dem auf der Seite abgebildeten Fingerprint verglichen werden. Die Textinformation mit den Fingerprints selbst ist signiert und kann (sollte) überprüft werden.

FIXME: Beschreibung, wie man die Signatur dieser Textinformation prüft (siehe Diskussionsseite)


Internet Explorer[Bearbeiten]

Für den Internet Explorer gibt es auf dieser Seite einen speziellen Link.


Server[Bearbeiten]

Grundsätzlich müssen 3 Voraussetzungen erfüllt sein, damit man sich via CAcert ein Zertifikat austellen lassen kann:

  • Man benötigt ausreichend Punkte
  • Man benötigt eine eigene Domain und muss diese verifizieren lassen.
  • Man erstelle sich einen Server-Key und ein dazu passendes CSR-File

Sind diese Vorgaben erfüllt, kann man über Serverzertifikate den Inhalt des CSR-Files übergeben. CAcert überprüft, ob die im CSR enthaltenen Daten zugeordnet werden können, d.h. ob der CN in der Liste der bereits verifizierten Domains enthalten ist. Passt alles, bekommt man ein Zertifikat angezeigt, welches man mittels copy-paste in die zum Server-Key korrespondierende .crt-Datei einfügt.

Standardmäßig heißen diese Dateien:

  • server.key
  • server.crt
  • server.csr

Apache[Bearbeiten]

Je nach Konfiguration kopiert man das server.key und server.crt in die entsprechenden Verzeichnisse. Bei FreeBSD ist das per default /usr/local/etc/apache/ssl.<typ>/.

Es empfieht sich dringend, die Dateien nicht "server.*" zu benennen, da diese sonst bei einem Update womöglich überschrieben werden. Als Konvention wäre denkbar, die Dateien anhand des Hostnames/Domain zu benennen, z.B. www.example.com.key und www.example.com.crt

httpd.conf
SSLCertificateKeyFile /usr/local/etc/apache/ssl.key/www.example.com.key
SSLCertificateFile /usr/local/etc/apache/ssl.crt/www.example.com.crt

siehe auch[Bearbeiten]


Punktevergabe und -Sammeln[Bearbeiten]

Das System basiert hierbei auf sog. "Points", die von "Assurern" vergeben werden - je nachdem, wie "anerkannt" die Assurer ist, bis zu 35 Punkte. Hat man 50 oder mehr dieser Punkte angesammelt, kann man sich Zertifikate für seine EMail mit seinem Namen ausstellen lassen. Ab 100 Punkte (Obergrenze, die man durch andere Assurer erreichen kann) kann man selbst andere bestätigen, zunächst jedoch nur maximal 10 Punkte. Für jede Bestätigung, die man selbst erteilt, bekommt man 2 Punkte. Erreicht man auf diese Weise 150 Punkte, kann man schließlich auch 35 Punkte vergeben.

Achtung:

Alle Assurer sind dazu angehalten, mindestens zwei Lichtbildausweise des "Probanten" zu kontrollieren. Dabei wird keinerlei Kopie oder sonstige Daten dem Ausweis entnommen, lediglich dessen Existenz und Zugehörigkeit überprüft.

Alle die an einer Signing Party teilnehmen wollen, sollten also sicherstellen, mindestens zwei Ausweise mit Bild mitzubringen (z.B. Personalausweis, Führerschein).

CAcert vs. Thawte Web of Trust[Bearbeiten]

So ähnelt dieses System dem älteren Thawte Web of Trust, nur daß man hier nicht von einem kommerziellen Anbieter abhängig ist. Nachteilig ist jedoch, daß das Root-Zertifikat von CAcert bisher noch nicht in gängigen Browsern integriert ist, die Organisation arbeitet jedoch daran. Insbesondere die Mozilla Softwarepalette dürfte diese am ehesten integrieren.

Zusätzlich zu EMail-Zertifikaten kann man sich zudem auch Server-Zertifikate ausstellen und sogar OpenPGP-Schlüssel signieren lassen.

Links[Bearbeiten]