Die Zertifizierungsstelle CAcert
Mit Let's Encrypt ist eine für Serverbetreiber kostenfreie Certification Authority für X.509-Server-Zertifikate verfügbar. Bei der Ausstellung von Zertifikaten wird dabei nicht zwischen Privatpersonen und Firmen bzw. Behörden unterschieden - die Bedingungen sind für alle Antragssteller gleich und die Zertifikats-Ausstellung ist kostenfrei. Let's Encrypt ist mit seinem Stammzertifikat in allen Betriebssystemen und Softwarepaketen enthalten.
Bei personenbezogenen X.509-Zertifikaten, wie sie z.B. für E-Mail-Signaturen und -Verschlüsselung nach S/MIME-Standard benötigt werden, ist das leider aktuell (Stand: Oktober 2017) nicht so. Für rein private Zwecke stellt Comodo kostenfreie 1 Jahreszertifikate aus. Für die Mitarbeiter in Firmen od. Behörden können diese Zertifikate entsprechend den Lizenzbestimmungen jedoch nicht verwendet werden. Darunter fallen natürlich auch Schulen, insbesondere Verwaltung und Lehrkräfte.
Für die stets personenbezogenen GnuPG-Schlüssel gibt es traditionell, wie schon auf der vorigen Seiter erläutert, ohnehin keine expliziten Certification Authorities. Ob hier ein Anwender einer Organisation vertraut, oder nicht, hängt von dessen persönlicher Einschätzung ab.
Mit CAcert gibt es allerdings eine Möglichkeit sowohl X.509- als auch GnuPG-Zertifikate kostenfrei, und mit hoher Überprüfungsqualität zu erhalten:
CAcert ist eine gemeinschaftsbetriebene, nichtkommerzielle Zertifizierungsstelle (Certification Authority, kurz CA), die von dem in Australien eingetragenen gemeinnützigen Verein CAcert Incorporated betrieben wird. CAcert stellt für jedermann kostenfrei X.509-Zertifikate und GnuPG-Zertifikate für verschiedene Einsatzzwecke aus und soll eine Alternative zu den kommerziellen Zertifizierungsstellen sein, die zum Teil recht hohe Gebühren für ihre Zertifikate erheben.
Allerdings, und das ist der Wermutstropfen dabei, ist CAcert bis heute in den meisten Betriebssystemen und Softwarepaketen nicht von Haus aus mit dem Stammzertifikat enthalten. Der Import des jeweiligen Stammzertifikats (für X.509 & für GnuPG) ist jedoch manuell in den meisten Fällen problemlos möglich (aktuell hat man hier speziell bei iOS-Geräten allerdings nur über MDM-Lösungen die Möglichkeit das X.509-Stammzertifikat zu importieren).
Die Grundregistrierung eines Benutzers erfolgt recht einfach. CAcert-Zertifikate sind für Benutzer sowohl nach dem X.509-Standard (Server- und personenbezogene Zertifikate) als auch für GnuPG-Zertifikate erhältlich. Die anschließende Überprüfung eines Zertifikatsantrags ist ganz klar der Extended Valdidation Stufe zuzuordnen (siehe nächste Seite)!
Fazit: Der Nutzen für CAcert-X.509-Zertifikate ist aktuell eher als "bescheiden" zu bezeichnen. Für GnuPG-Anwender ist es allerdings eine geniale Möglichkeit zentral ein Zertifikat für einen Schlüssel zu erhalten, und dabei bezüglich der Schlüssel- und Personen-Überprüfung die Vorteile einer zentralen Certification Authority zu haben. Die Einzel-Zertifizierung, durch persönliche Freunde, kann damit entfallen.