Kostenlose Code-Signing-SSL-Zertifikate für Unternehmen
Bislang gab es die Code-Signing-Option nur für Privatanwender. Assurer sollen künftig einen Online-Test absolvieren.
Die Zertifizierungs-Organisation CAcert (Halle 5, Stand G47/3 im Linux-Park) bietet nun auch Unternehmen für Code Signing taugliche SSL-Zertifikate an. Bisher war diese Option nur Privatanwendern vorbehalten, da sie im Unternehmensbereich des Online-Verwaltungssystems nicht vorgesehen war. Laut Philipp Gühring von CAcert wurde sie auf vielfache Anfrage hin jetzt nachgerüstet.
Derzeit befindet sich CAcert in einer Audit-Phase, um bei der Browser-Akzeptanz der Zertifikate voranzukommen. Zur Erfüllung der geforderten Qualitätsstandards haben die CAcert-Entwickler nun einen Online-Test für Beglaubiger (Assurer) erstellt. Laut Gühring ist der kostenlose Test zurzeit freiwillig, in einigen Monaten soll er für Assurer jedoch Pflicht werden, um weiterhin Beglaubigungspunkte an andere Mitglieder vergeben zu können.
Die nichtkommerzielle Organisation stellt als "Trusted Third Party" Privatanwendern und Unternehmen auf Basis eines Punktesystems kostenlose SSL-Zertifikate und PGP-Schlüssel aus. Die Online-Statistik listet derzeit über 100.000 verifizierte Privatnutzer und über 13.000 Nutzer mit beglaubigter Identität. Gühring sprach gegenüber heise Security von über 300 bisher durchgeführten Unternehmens-Beglaubigungen (Assurances).
Größtes Problem beim Einsatz der kostenlosen Zertifikate ist bislang die fehlende Akzeptanz durch die großen Internet-Browser, die in ihrer Standardkonfiguration Fehlermeldungen ausspucken, wenn sie auf ein CAcert-Zertifikat treffen. Anwender und Administratoren müssen daher noch manuell die für eine erfolgreiche Überprüfung notwendigen Root-Zertifikate etwa in ihren Firefox oder Internet Explorer importieren, um die Fehlermeldungen zu vermeiden. (cr)
