CAcert - eine freie Root CA
CAcert (https://www.cacert.org) ist eine Non-Profit Organisation mit dem Zweck, eine kostenlose Certificate Authority (CA) etablieren will. Eine CA dient zum Ausstellen und Verifizieren von Zertifikaten, die wiederum zum Verschlüsseln verwendet werden.
Kommerzielle CAs verlangen für diesen Dienst pro Zertifikat eine Gebühr, die für die meisten Anwender zu teuer ist. Die Konsequenz daraus ist, dass man entweder auf die Verschlüsselung verzichtet oder zu selber signierten Zertifikaten greift - diese können aber nicht von einer unabhängigen dritten Seite verifiziert werden.
Mit den Zertifikaten kann die Verbindung zu Webservern über https gesichert oder E-Mails mittels S/MINE signiert oder verschlüsselt werden. Eine bisher weniger verbreitete Anwendung ist die Signierung von Programmen.
Das Web of Trust
CAcert basiert auf einem Web of Trust. Die Mitglieder vertrauen Mitgliedern die wiederum anderen Mitgliedern vertrauen. So spannt sich ein Netz auf, bei dem sich Leute vertrauen, die sich nicht direkt kennen. Bei CAcert kann sich jeder anmelden. Die Identität des neuen Mitglieds muss von Personen bestätig werden, deren Identität wiederum durch andere Mitglieder bestätigt ist. So stellt man sicher, dass jedes voll authentifizierte Mitglied wirklich die Person ist, die sie vorgibt zu sein.
Der Authentifizierungsprozess
Nachdem man sich bei CAcert angemeldet hat, kann man sich das Identitätsüberprüfungs-Formular (CAP-Formular) herunterladen. Mit dem kann man sich von den als Assurer tätigen Mitgliedern die Identität überprüfen lassen.
Jeder Assurer kann einem eine bestimmte Anzahl Punkte geben. Je mehr Personen der Assurer bestätigt hat, desto mehr Punkte kann er vergeben. Er selber bekommt für jede Prüfung 2 Punkte. Die einzelnen Stufen sind in dieser Tabelle ersichtlich:
| Total Punkte | Assurer-Punkte | Zu vergebende Punkte |
|---|---|---|
| 100 | 0 | 10 |
| 110 | 10 | 15 |
| 120 | 20 | 20 |
| 130 | 30 | 25 |
| 140 | 40 | 30 |
| 150 | 50 | 35 |
Um voll authentifiziert zu sein (also 100 Punkte zu haben), braucht man zwischen 3 und 10 Assurer (je nach deren Erfahrung). Die Assurer findet man über die Webseite von CAcert unter dem Punkt "CAcert Web of Trust" / "Einen Assurer finden". Dort kann man auch sehen, wie viele Punkte der Assurer vergeben kann.
Wofür benötige ich wie viele Punkte?
Um von CAcert profitieren zu können, braucht man nicht unbedingt 100 Punkte. Je nach Anwendungszweck genügt eine bestätigte Mailadresse:
| Voraussetzung | Möglichkeit |
|---|---|
| bestätigte Mailadresse | Zertifikate für 6 Monate, nur Mailadresse / Domain |
| 50 Punkte | Zertifikate für 24 Monate mit Angabe von Namen |
| 100 Punkte | Code-Signierung, Möglichkeit Assurer zu werden |
Die ausführlichere Tabelle findet sich bei CAcert.
Wie geht es weiter?
Nachdem man voll authentifiziert ist, kann man den Assurer-Test machen (vorher das Assurer-Handbuch durchlesen). Besteht man diesen, darf man als Assurer tätig werden und beim Ausbau des Web of Trust mitmachen.
Will man dies nicht, kann man auch nur die Dienste von CAcert nutzen.