Kategorie: tipps & tricks » Allgemein

CAcert.org

Digitale Zertifikate bei CAcert

CAcert.org ist eine gemeinnützige Zertifizierungstelle für digitale Zertifikate jeglicher Art, die sich als Alternative zu kommerziellen CAs (Certification Authority = Zertifizierungsstelle) darstellt. Unter dem Eintrag "Digitale Zertifikate" findet sich unter Wikipedia folgende Definition:

"Ein Digitales Zertifikat (auch Zertifikat oder Public-Key-Zertifikat) sind strukturierte Daten, die den Eigentümer sowie weitere Eigenschaften eines öffentlichen Schlüssels bestätigen. Durch ein digitales Zertifikat können Nutzer eines asymmetrischen Kryptosystems den öffentlichen Schlüssel einer Identität (z. B. einer Person, einer Organisation oder einem IT-System) zuordnen und seinen Geltungsbereich bestimmen. Damit ermöglichen digitale Zertifikate den Schutz der Vertraulichkeit, Authentizität und Integrität von Daten durch die korrekte Anwendung der öffentlichen Schlüssel." [1]

Im Klartext bedeutet dies, dass es sich bei digitalen Zertifikaten um eine Art digitale Unterschrift handelt, die beispielsweise den Autor einer E-Mail identifiziert und gleichzeitig eine Aussage darüber trifft, ob die E-Mail nach ihrer Erstellung manipuliert wurde oder ob es sich um das unveränderte Original handelt. Ähnlich funktioniert auch die Verwendung gesicherter Internetadressen (https://...) - hier überprüft der Browser bei Eingabe einer solchen Adresse, ob der zu kontaktierende Server ein gültiges Zertifikat vorweisen kann, das den Server identifiziert und die zu verwendende Nutzung als zulässig erklärt.

Solche Zertifikate lassen sich käuflich oder aber eben kostenlos bei CAcert.org erwerben. Grundlage dafür, dass Zertifikate anerkannt werden, ist, dass den zugehörigen Zertifizierungsstellen das nötige Vertrauen entgegengebracht wird. Daher sind bereits in fast allen Webbrowsern eine gewisse Anzahl sogenannter Wurzel- oder Rootzertifikate vorinstalliert, die den zugehörigen Zertifizierungsstellen das benötigte Vertrauen bescheinigen. Das bedeutet nicht notwendigerweise, dass diese Zertifizierungsstellen auch vertrauenswürdig sind - der Anwender lässt in diesem Falle die Entscheidung über Ver- oder Misstrauen in Händen des Softwareanbieters.

Die Wurzelzertifikate von CAcert.org sind augenblicklich noch nicht in allen Browsern vorinstalliert, lassen sich allerdings mit Hilfe weniger Klicks über die zugehörige Website nachinstallieren.

Um selber ein digitales Zertifikat von CAcert zu erhalten, muss man sich in einem ersten Schritt mit einer gültigen Mailadresse registrieren. Ist dies geschehen, kann man sofort ein digitales Zertifikat herunterladen, um damit beispielsweise seine Mails digital zu signieren. Allerdings ist dieses Zertifikat nur für einen sehr begrenzten Zeitraum gültig und wird nicht auf den eigenen Namen ausgestellt. Dafür muss erst die Identität des Antragsteller überprüft werden. Um sicherzugehen, dass niemand unter Angabe falscher Daten ein Zertifikat erhält und verbreitet, verlässt sich CAcert auf ein sogenanntes "Web of Trust". Dieses Vertrauensnetzwerk beruht auf einer Reihe autorisierter Personen, die nach einem persönlichen Treffen mit dem Antragsteller dessen Identität bestätigen (oder eben nicht) und ihm so einen gewissen Vertrauensstatus bezeugen. Wurde die Identität des Antragstellers von mehreren Personen unabhängig voneinander bestätigt, hat der Antragsteller Anrecht auf ein Zertifikat, das auf seinen Namen ausgestellt ist und eine längere Gültigkeit besitzt. Später kann der Antragsteller selbst die Identität neuer Interessenten bezeugen.

Authorisierter CAcert AssurerIch selbst bin Teil des Web of Trust und darf die Identität anderer Personen CAcert gegenüber bestätigen. Wer also Interesse hat, darf sich gerne bei mir melden. Meine Kontaktdaten befinden sich im Impressum.

Quellen
[1]
Wikipedia
Digitales Zertifikat

Letzter Aufruf: 30. Apr 2008
[2]
CAcert
Letzter Aufruf: 02. Nov 2008