Deutschsprachige CAcert Support Liste

[Michael Vogel <icarus AT dabo.de>]

Moin!

2009/11/10 Bernhard Froehlich 
<ted AT convey.de>:

> Im Prinzip kann man das mit Organisations-Assurance machen wenn ihr irgendwo
> eingetragen seid (z.B. Vereinsregister?).

Wir sind registriert, haben einen gewählten Vorstand ... Das ist alles
kein Problem.

> Da kann man dann
> Client-Zertifikate ausstellen, die den Organisationsnamen enthalten, und auf
> den kann dann beim Login geprüft werden. Die können auch unabhängig
> voneinander revoked werden, so dass (korrekte OCSP- bzw. CRL-Prüfung
> vorausgesetzt) die Leute dann auch nicht mehr rein dürfen.

Okay.

> Es gibt zwei Probleme, zum einen muss man eine Organisations Assurance
> durchführen. Wenn ihr ein e.V. seid oder im Handelsregister eingetragen oder
> sowas, dann ist das ein kleineres Problem, siehe
> http://wiki.cacert.org/OrganisationAssurance/Overview.

Schaue ich mir nachher mal im Detail an.

> Das zweite Problem ist, dass die Prozedur zum Ausstellen von
> Org-Client-Zertifikaten genauso läuft wie die von normalen
> Client-Zertifikaten, d.h. der OrgAdmin generiert Private Key und Zertifikat
> in seinem Browser, muss das als *.p12 exportieren und der "Antragsteller"
> muss es dann importieren. Für höhere Sicherheitsanforderungen ist das ein
> Problem da der OrgAdmin damit Zugriff auf den Private Key hat.

Das wird einigen nicht gefallen.

> Die Vorgehensweise mit einem Signing Request (CSR), wie bei den
> Server-Zertifiakten, wäre an dieser Stelle zumindest als Alternative
> sinnvoll, muss aber erst implementiert werden.

Ist das in Planung?

Wie sieht das eigentlich mit Chipkarten aus? Ich hab in diesem Bereich
ein sehr geringes Halbwissen, deswegen frage ich mal so dumm:

Gibt es Chipkarten, die private Schlüssel enthalten (ohne dass man sie
auslesen kann) und die für sowas genutzt werden könnten?

Es wäre grundsätzlich kein Problem, an die Mitglieder Chipkarten zu verteilen.

Michael
-- 
Freiheit schützt man nicht, indem man sie abschafft.