Zur Haupt­na­vi­ga­ti­on sprin­gen [Alt]+[0] Zum Sei­ten­in­halt sprin­gen [Alt]+[1]

Die Zer­ti­fi­zie­rungs­stel­le CA­cert

Mit Let's En­crypt ist eine für Ser­ver­be­trei­ber kos­ten­freie Cer­ti­fi­ca­ti­on Aut­ho­ri­ty für X.509-Ser­ver-Zer­ti­fi­ka­te ver­füg­bar. Bei der Aus­stel­lung von Zer­ti­fi­ka­ten wird dabei nicht zwi­schen Pri­vat­per­so­nen und Fir­men bzw. Be­hör­den un­ter­schie­den - die Be­din­gun­gen sind für alle An­trags­stel­ler gleich und die Zer­ti­fi­kats-Aus­stel­lung ist kos­ten­frei. Let's En­crypt ist mit sei­nem Stamm­zer­ti­fi­kat in allen Be­triebs­sys­te­men und Soft­ware­pa­ke­ten ent­hal­ten.

Bei per­so­nen­be­zo­ge­nen X.509-Zer­ti­fi­ka­ten, wie sie z.B. für E-Mail-Si­gna­tu­ren und -Ver­schlüs­se­lung nach S/MIME-Stan­dard be­nö­tigt wer­den, ist das lei­der ak­tu­ell (Stand: Ok­to­ber 2017) nicht so. Für rein pri­va­te Zwe­cke stellt Co­mo­do kos­ten­freie 1 Jah­res­zer­ti­fi­ka­te aus. Für die Mit­ar­bei­ter in Fir­men od. Be­hör­den kön­nen diese Zer­ti­fi­ka­te ent­spre­chend den Li­zenz­be­stim­mun­gen je­doch nicht ver­wen­det wer­den. Dar­un­ter fal­len na­tür­lich auch Schu­len, ins­be­son­de­re Ver­wal­tung und Lehr­kräf­te.

Für die stets per­so­nen­be­zo­ge­nen GnuPG-Schlüs­sel gibt es tra­di­tio­nell, wie schon auf der vo­ri­gen Sei­ter er­läu­tert, oh­ne­hin keine ex­pli­zi­ten Cer­ti­fi­ca­ti­on Aut­ho­ri­ties. Ob hier ein An­wen­der einer Or­ga­ni­sa­ti­on ver­traut, oder nicht, hängt von des­sen per­sön­li­cher Ein­schät­zung ab.

Mit CA­cert gibt es al­ler­dings eine Mög­lich­keit so­wohl X.509- als auch GnuPG-Zer­ti­fi­ka­te kos­ten­frei, und mit hoher Über­prü­fungs­qua­li­tät zu er­hal­ten:

CA­cert ist eine ge­mein­schafts­be­trie­be­ne, nicht­kom­mer­zi­el­le Zer­ti­fi­zie­rungs­stel­le (Cer­ti­fi­ca­ti­on Aut­ho­ri­ty, kurz CA), die von dem in Aus­tra­li­en ein­ge­tra­ge­nen ge­mein­nüt­zi­gen Ver­ein CA­cert In­cor­po­ra­ted be­trie­ben wird. CA­cert stellt für je­der­mann kos­ten­frei X.509-Zer­ti­fi­ka­te und GnuPG-Zer­ti­fi­ka­te für ver­schie­de­ne Ein­satz­zwe­cke aus und soll eine Al­ter­na­ti­ve zu den kom­mer­zi­el­len Zer­ti­fi­zie­rungs­stel­len sein, die zum Teil recht hohe Ge­büh­ren für ihre Zer­ti­fi­ka­te er­he­ben.

Al­ler­dings, und das ist der Wer­muts­trop­fen dabei, ist CA­cert bis heute in den meis­ten Be­triebs­sys­te­men und Soft­ware­pa­ke­ten nicht von Haus aus mit dem Stamm­zer­ti­fi­kat ent­hal­ten. Der Im­port des je­wei­li­gen Stamm­zer­ti­fi­kats (für X.509 & für GnuPG) ist je­doch ma­nu­ell in den meis­ten Fäl­len pro­blem­los mög­lich (ak­tu­ell hat man hier spe­zi­ell bei iOS-Ge­rä­ten al­ler­dings nur über MDM-Lö­sun­gen die Mög­lich­keit das X.509-Stamm­zer­ti­fi­kat zu im­por­tie­ren).

Die Grund­re­gis­trie­rung eines Be­nut­zers er­folgt recht ein­fach. CA­cert-Zer­ti­fi­ka­te sind für Be­nut­zer so­wohl nach dem X.509-Stan­dard (Ser­ver- und per­so­nen­be­zo­ge­ne Zer­ti­fi­ka­te) als auch für GnuPG-Zer­ti­fi­ka­te er­hält­lich. Die an­schlie­ßen­de Über­prü­fung eines Zer­ti­fi­kats­an­trags ist ganz klar der Ex­ten­ded Vald­i­da­ti­on Stufe zu­zu­ord­nen (siehe nächs­te Seite)!

Fazit: Der Nut­zen für CA­cert-X.509-Zer­ti­fi­ka­te ist ak­tu­ell eher als "be­schei­den" zu be­zeich­nen. Für GnuPG-An­wen­der ist es al­ler­dings eine ge­nia­le Mög­lich­keit zen­tral ein Zer­ti­fi­kat für einen Schlüs­sel zu er­hal­ten, und dabei be­züg­lich der Schlüs­sel- und Per­so­nen-Über­prü­fung die Vor­tei­le einer zen­tra­len Cer­ti­fi­ca­ti­on Aut­ho­ri­ty zu haben. Die Ein­zel-Zer­ti­fi­zie­rung, durch per­sön­li­che Freun­de, kann damit ent­fal­len.

Wei­ter: CA­cert mit einem ei­ge­nen Be­nut­zer­kon­to bei­tre­ten