CAcert

CAcert für Toppoint-Dienste und andere Webseiten

Einige Toppoint Dienste nutzen CAcert Zertifikate. Möchte man diese Seiten nutzen, kann man, wenn man CAcert vertraut (das tun wir), einfach das CAcert-Root-Zertifikat importieren - wie es geht, steht hier:

Das CAcert Root Zertifikat in Browser und andere Anwendungen importieren

Danach kann man die Toppoint-Webseiten und alle anderen Webseiten per "https:" aufrufen, die mit einem CAcert Zertifikat abgesichert sind und bekommt bei diesen Seiten keine Warnung oder Fehlermeldung mehr (es sei denn, z.B. ein Zertifikat ist abgelaufen und müßte erneuert werden - danke für entsprechende Hinweise).

Was ist CAcert?

Bei CAcert überprüfen sich die Teilnehmer gegenseitig, bis sie von der so entstehenden CAcert-Gemeinschaft als ausreichend vertrauenswürdig eingestuft werden. So kann jeder kostenlose und vertrauenswürdige Zertifikate für seinen Web-Server etc. erhalten. Da die üblichen Webbrowser aber das Root-Zertifikat von CAcert noch nicht eingebaut haben, muß dies der Benutzer der Webseiten leider noch selbst tun (s.o.).

Weitere Infos aus dem Flyer von CAcert

CAcert ist ein community-basierter, eingetragener non-profit Verein mit Sitz in Australien.

Die Ziele von CAcert sind:

• Steigerung der Sicherheit im IT-Zeitalter
• Unterstützung unserer Benutzer in ihren Sicherheits bestrebungen
• Bereitstellung von Tools und Mechanismen im Bereich der IT-Sicherheit

Anwendungsgebiete sind u.a.:

• Absichern von Webservern mittels HTTPS
• Signieren und Verschlüsseln von E-Mails
• SSL/TLS Serverdienste
• Kommunikation mit Webseiten
• VPN-Verbindungen
• digitales Signieren von Programmcode (z.B. Java)
• digitales Signieren von Dokumenten

CAcert ist bestrebt, Sicherheit für die IT-Welt frei verfügbar zumachen und die Mittel dafür für jeden erschwinglich zu gestalten. CAcert ist eine offene Gemeinschaft und nutzt den Open-Source-Gedanken, um ihre Ziele zu erreichen.

Warum sollte man mitmachen?

Sicherheit:

Steigern der eigenen und der allgemeinen Sicherheit bei der Verwendung des Internets.

Privatsphäre:

CAcert unterstützt Sie darin, Ihre Privatsphäre im Internet zu bewahren.

Authentizität:

Andere können sicher sein,dass Ihre Identität geprüft wurde und Sie wirklich derjenige sind, der Sie vorgeben zu sein.

Weiterführende Links

FAQ und die Deutsche Gemeinschaft von CAcert sowie eine Kurzübersicht

Informationen für Website und Systemadministratoren

• https://mozilla.github.io/server-side-tls/ssl-config-generator/
• https://developer.mozilla.org/en-US/docs/Web/Security/Securing_your_site/Configuring_server_MIME_types
• https://bettercrypto.org/static/applied-crypto-hardening.pdf

Debian

Das Debian Paket ca-cacert aus jessie-backports installieren:

cacert.sh

apt-get install -t jessie-backports ca-cacert
 
#und mit
dpkg-reconfigure ca-certificates
#die beiden CaCert manuell auswählen und aktivieren.

Arch Linux

Das Arch Linux Paket ca-certificates-cacert aus AUR installieren:

cacert.sh

pacman -S ca-certificates-cacert

nach https://wiki.archlinux.org/index.php/Aur und https://wiki.archlinux.org/index.php/Pacman/Rosetta.

Void Linux

Das Paket ca-certificates enthält cacert nicht. Das Paket nss enthält cacert.

SHA-1

Hintergrund zu dem Wegfall des sha1 Hashes bei den Zertifikaten:

• http://blog.cacert.org/2016/03/successful-root-re-sign/
• http://svn.cacert.org/CAcert/SystemAdministration/signer/re-sign-2016/outputs/class3_256.crt
• http://svn.cacert.org/CAcert/SystemAdministration/signer/re-sign-2016/outputs/root_256.crt

( http://svn.cacert.org/CAcert/SystemAdministration/signer/re-sign-2016/outputs/ )

• https://cabforum.org/pipermail/public/2014-March/003043.html
• https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/
• https://blog.mozilla.org/security/2015/10/20/continuing-to-phase-out-sha-1-certificates/
• https://blog.mozilla.org/security/2016/03/29/march-2016-ca-communication/
• https://blogs.windows.com/msedgedev/2016/04/29/sha1-deprecation-roadmap/
• http://arstechnica.com/security/2012/10/sha1-crypto-algorithm-could-fall-by-2018/

Perfect Forward Security

• https://jhalderm.com/pub/papers/forward-secrecy-imc16.pdf