Downtime und Neuanfang bei CAcert

Umstellungen bei der Zertifizierungsorganisation CAcert: Weil wichtige Server von Österreich in die Niederlande umziehen, wird der Zertifizierungsdienst Ende September vorübergehend offline gehen. Das Projekt hat zudem mit Personalmangel zu kämpfen.

Die Idee hinter CAcert ist einfach: Statt auf die teuren Zertifizierungsdienstleister wie Verisign zu vertrauen, will die Community-Organisation Sicherheit auch für kleine Geldbeutel ermöglichen. Die SSL-Zertifikate werden von der Community selbst beglaubigt, freiwillige "assurer" bürgen für die Korrektheit der Angaben in den kostenlosen Server-Zertifikaten. Allerdings kämpft die Organisation mit der Umsetzung dieses Ziels – auch fünf Jahre nach der offiziellen Gründung von CAcert hat keiner der verbreiteten Browser das Root-Zertifikat der Certificate Authority (CA) von CAcert schon in der Basisinstalltion integriert, lediglich einige OpenSource-Projekte vertrauen ohne zusätzliche Installation auf die kostenlosen Zertifikate.

Um sich für die Aufnahme in Massenprodukte zu qualifizieren, unterzieht sich die Organisation derzeit einem aufwendigen Audit-Prozess, der sicherstellen soll, dass die von CAcert signierten Inhalte tatsächlich vertrauenswürdig sind. Dafür ist unter anderem eine verbesserte Infrastruktur notwendig. Wie in dem neusten Statusbericht aufgeführt wird, waren die derzeit in Wien beheimateten Server nicht ausreichend, um diesen Anforderungen zu genügen. Die Dienste werden Ende des Monats deshalb in ein Rechenzentrum in den Niederlanden verlagert, in dem bereits andere Server des Projekts stehen.

Über den genauen Zeitpunkt und Dauer der Downtime wollen die Verantwortlichen aber keine genaue Angaben machen. "Es wird so lange dauern, wie es halt dauert", heißt es in der Ankündigung lapidar. Auf Anfrage zeigt sich Philipp Gühring, der bei CAcert für die Software-Entwicklung und Systemadministration zuständig ist, zuversichtlich, dass die Auszeit lediglich 48 Stunden betragen wird. "Die Übersiedlung wird keine Auswirkungen auf die Sicherheit von SSL haben", erklärt Gühring. Zwar ist es in der Zeit nicht möglich, neue Zertifikate auszustellen – Nutzer der Zertifikate werden aber 45 Tage vor Auslaufen ihrer Zertifikate automatisch informiert, sodass eine begrenzte Auszeit keine Unterbrechungen des Services zur Folge haben muss. Nach dem Umzug will CAcert auch ein neues Root-Zertifikat herausgeben, das den Anforderungen des Audits besser entspricht. Das alte Zertifikat bleibt aber vorerst gültig.

Der aktuelle Community-Report spart aber auch nicht an Kritik an der Arbeit von CAcert. So heißt es in einer kritischen Bilanz: "CAcert hatte zwei Jahre Zeit, die kritischen Systeme vorzubereiten, hat es aber nicht getan. Der jetzige Zustand dauert schon über ein Jahr – trotzdem wurde bisher keine Migration durchgeführt." Auch eine kritische Sicherheitslücke wird erwähnt, die zwar innerhalb von zwölf Stunden behoben worden sei, aber zeige, dass das Software-Team noch viel Arbeit vor sich habe.

Im Gespräch mit heise online zeigt sich Gühring aber optimistisch, dass das Projekt mit dem neu aufgestellten Team bald Verbesserungen erreichen kann: "Wir arbeiten ständig an Verbesserungen, und haben auch schon einiges erreicht. Aber die Anforderungen des Audits sind relativ hoch und erfordern viel Ernergie." CAcert ist besonders auf der Suche nach Freiwilligen, die die notwendige Zeit und Verantwortung in das Projekt investieren können. (Torsten Kleinz) / (jk)