Kostenlose Zertifikate bei CAcert.org

Der australische Verein CAcert bietet in Halle 5, Stand D48/03 (Österreich/Gemeinschaftsstand, Verkehrsinformationssysteme Satos.net) scher interessierten Privatpersonen und Firmen die Möglichkeit, ihre Identität feststellen und sich so kostenlos Zertifikate ausstellen zu lassen. Neben den für gesicherte Verbindungen über das https-Protokoll notwendigen SSL/TLS-Zertifikaten kann der Anwender über die Website CAcert.org auch die Ausgabe von X.509- und S/MIME-tauglichen Identitätsbescheinigungen beantragen. Diese Zertifikate sind frei nutzbar; auch der Einsatz in kommerziellen Umgebungen ist möglich.

Interessenten sollten sich zunächst kostenlos einen Account bei CAcert.org anlegen; notwendig hierzu sind neben dem Namen lediglich eine gültige E-Mail-Adresse und ein möglichst sicheres Passwort. Auf der CeBIT kann nun dieses Benutzerkonto verifiziert und die dazugehörige Person identifiziert werden. Für diesen als "Assurance" bezeichneten Vorgang ist jedoch die Vorlage mindestens eines gültigen Lichtbildausweises (z.B. Personalausweis oder Reisepass) notwendig, die dann am Stand überprüft und verifiziert werden. Nach erfolgter Überprüfung erhält jeder Benutzer Punkte, die seine Vertrauenswürdigkeit widerspiegeln. Zum einen kann ein als vertrauenswürdig eingestufter Benutzer im internen Bereich der CAcert-Website selber Zertifikate ausstellen, aber auch über ein "Web of Trust" Punkte an andere Benutzer vergeben.

In der Vergangenheit hatten bereits andere Zertifizierungsstellen kostenfreie Zertifikate angeboten, waren jedoch wegen Sicherheitsbedenken in die Kritik geraten. Ralf Neumann, Vertreter von CAcert auf der Messe, versicherte auf Nachfrage, dass keine sensitiven Daten wie private Schlüssel auf einem zentralen Server gespeichert würden; das Verfahren zur Erstellung von Zertifikaten gleiche dem kommerzieller Anbieter. Auch stelle man auf Anfrage den kompletten Quellcode des Projektes gerne für Sicherheitsüberprüfungen zur Verfügung.

In Kürze solle das Rootzertifikat der CA von CAcert zudem in den gängigen Browsern abgelegt werden -- die notwendigen Schritte, so Neumann, seien bereits eingeleitet. Dann müßten sich Benutzer der CAcert-eigenen Lösung nicht mehr über die bei "Snake Oil"-Zertifikaten üblichen Sicherheitswarnungen ärgern, die Zertifikate zögen mit den teilweise recht teuren Lösungen kommerzieller Mitbewerber gleich.

Der Heise Zeitschriften Verlag bietet auf seinem Stand (Halle 5, E38) im Rahmen der c't Krypto-Kampagne weiterhin die Möglichkeit, PGP-Schlüssel durch die verlagseigene CA signieren zu lassen. Auf Wunsch können die Schlüssel auch direkt am Stand generiert werden; für die Bestätigung ist ein gültiger Personalausweis oder Reisepaß notwendig. Der Service ist selbstverständlich kostenfrei. (Christopher Kunz) / (vza)