Debian verzichtet auf SSL-Root-Zertifikate von CAcert

Die Linux-Distribution Debian verteilt über sein Paketsystem keine SSL-Stammzertifikate von CAcert.org mehr. Ende März 2014 hat der Paketbetreuer Michael Shuler die Root-Zertifikate aus dem Debian-Paket ca-certificates entfernt. Bislang sind davon die Debian-Varianten Testing und Unstable betroffen, im stabilen Debian 7.0.4 (Wheezy) sind die CAcert-Zertifikate noch enthalten. Der Löschung ging eine lange Diskussion voraus, die Ansgar Burchardt im Juli 2013 durch eine Fehlermeldung angestoßen hatte.

In seinem Beitrag nennt Burchardt eine Reihe von Gründen für seine Bedenken: Kein großer Browser- oder Software-Hersteller verteile die Root-Zertifikate von CAcert und auch die beantragte Aufnahme bei Mozilla sehe nicht sehr erfolgversprechend aus. So folge CAcert offenbar nicht den aktuellen Mozilla-CA-Richtlinien und schaffe auch durch die Veröffentlichung ihrer Software-Quelltexte wenig bis kein Vertrauen.

Den Einwürfen von Burchardt hält Thijs Kinkhorst entgegen, dass es sich bei CAcert um die einzige von einer Gemeinschaft getragene Zertifizierungsstelle handelt. Sie sei eine Ausnahme unter den CAs und ähnele damit Debians Arbeitsweise. Andere CAs vergäben zwar kostenlose Zertifikate, CAcert arbeite hingegen frei und offen. Auch andere Teilnehmer plädierten in der Diskussion dafür, die CAcert-Zertifikate weiterhin durch Debian zu verteilen. Mitte März 2014 entfernte Shuler dann die CAcert-Zertifikate aus dem Debian-Paket, die Diskussion über das Für und Wider hält jedoch an.

[Update 25.03.2014] Per Software-Update wurden inzwischen auch unter Ubuntu 13.10 die CACert-Stammzertifkate entfernt. [/Update] (rek)