Deutschsprachige CAcert Support Liste

[Bernhard Fröhlich <bernhard AT cacert.org>]

Dirk Deimeke schrieb:
> Hallo Michael,
>
> > Ich hab grad mal drübergelesen und fehlerhafte Einträge korrigiert, war
> > aber im wesentlichen korrekt.
>
> vielen Dank für Deine schnelle Unterstützung.
>
> > Wir wollen, dass die Benutzer eine Möglichkeit haben das einfach mal
> > auszuprobieren, deshalb kann man von Anfang an Zertifikate erstellen.
>
> Das Eine hat ja mit dem anderen nichts zu tun.
>
> Wer nur Zertifikate testen möchte, kann ja diese problemlos selber 
> signieren.
>
> Den Stempel "CAcert approved" (in Anführungszeichen) sehe ich da schon 
> etwas differenzierter.
Hallo Dirk,

hier verfällst Du dem durchaus weit verbreiteten, trotzdem aber falschen 
Verständnis, dass der Besitz eines "offiziellen" Zertifikats bestätigt 
dass jemand ein besserer Mensch ist.

Ein Zertifikat bestätigt, dass sein Inhalt entsprechend dem Certificate 
Practice Statement (bei CAcert 
https://www.cacert.org/policy/CertificationPracticeStatement.php) 
überprüft ist.
Also im Fall von CAcert, z.B. dass jemand Kontrolle über eine 
Web-Adresse hat (bei einem Server-Zertifikat), dass jemand Zugriff auf 
eine Mailadresse hat (alle Client Zertifikate) oder dass jemand einen 
Ausweis besitzt, der einen bestimmten Namen enthält (Client Zertifikate 
mit Klartextnamen).

Demnach bedeutet die blaue/grüne Kennzeichnung einer Webseite auch 
nicht, dass das eine "gute" Webseite ist (z.B. keine Schadsoftware 
enthält oder keine Phisher-Seite ist), sondern nur, dass der Browser der 
Meinung ist dass die im Zertifikat enthaltene Adresse dem entspricht was 
der Benutzer als Link eingegeben hat. Was das wert ist kann man 
eigentlich immer erst nach einer Lektüre der CPS der herausgebenden CA 
beurteilen.

Genauso bedeutet eine Mail, die von einem CAcert-Zertifikat 
unterschrieben ist das den Namen "Angela Merkel" enthält, keineswegs 
dass die Mail von unserer Bundeskanzlerin geschickt wurde. Sondern nur 
dass die Inhaberin des Zertifikats einen Ausweis besitzt in dem als Name 
"Angela Merkel" steht und dessen Lichtbild ihr (der Besitzerin, nicht 
der Kanzlerin) ziemlich ähnlich sieht.

Wenn jemand ein neues Konto bei CAcert anlegt und dem eine Web- oder 
Mail-Adresse hinzufügt dann muss derjenige nachweisen können dass er/sie 
das Mailkonto lesen kann oder Kontrolle über die Web-Domain hat. Das 
wird automatisch geprüft. Diese Prüfung verleiht keine 100-prozentige 
Sicherheit, aber die Aussage des Zertifikats ist nur, dass genau diese 
Prüfung gemacht wurde.

Und natürlich steckt hinter der Möglichkeit, "einfache" Zertifikate auch 
ohne persönliche Überprüfung zu erhalten auch die Hoffnung, dass diese 
Zertifikate dann als "Einstiegsdroge" wirken (darum gelten sie auch nur 
6 Monate...).

MfG
Ted
;)

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature