Deutschsprachige CAcert Support Liste

[Rüdiger Schultz <ruediger AT schultz.ch>]

Leider muss ich Jochen zustimmen in seiner Analyse der Usability von CAcert.org

 

Ich selbst bin ebenfalls vor fast zwei Jahren auf LetsEncrypt umgestiegen – aber ich vermisse dort tatsächlich die Möglichkeit der „Extended Validation“.

Vermissen ist nicht genau der richtige Ausdruck, ich versuche gerade, die Organisation zu überzeugen, einen „EV Prozess“ zu implementieren.

Dabei verwende ich als „Proof-of-Concept“ die „EV Assurance“ von CAcert.org – aber ich könnte noch Unterstützung bei der Meinungsbildung gebrauchen von anderen CAcert.org Anwendern, die ebenfalls auf LetsEncrypt umgestiegen sind.

https://community.letsencrypt.org/t/plans-for-extended-validation/409/37

 

das wird wahrscheinlich als „Ketzerei“ von manchen CAcert Enthusiasten gesehen werden – aber in einem professionellen Umfeld kann ich mir (im Jahr 2017) nicht (mehr) erlauben, die User mit „akzeptieren Sie halt das Zertifikat“ Anfragen zu verwirren.

 

Liebe Grüsse

Rüdiger Schultz

 

 

 

Von: cacert-de-request AT lists.cacert.org [mailto:cacert-de-request AT lists.cacert.org] Im Auftrag von Jochen Schmitt
Gesendet: Sonntag, 22. Oktober 2017 17:42
An: cacert-de AT lists.cacert.org
Betreff: Re: Cacert im Browser

 

 

Am 22.10.2017 um 14:29 schrieb Dirk Janßen <support AT dja-it.de>:

ich doch widersprechen.

Mit der Begründung müsste dann ja PGP schon lange tot sein ... ;-)

PGP hat einen völlig anderen Sinn, funktioniert auf ganz anderer Ebene und ist mit CAcert nicht zu vergleichen, vom Thema Verschlüsselung und der Nutzung eines lediglich ähnlichen web-of-trust mal abgesehen. Ich bin aber sicher, daß Dir das sehr wohl bekannt ist.

Naja, es gibt noch eine nicht-technische Gemeinsamkeit: PGP krebst nach anfänglicher Euphorie genauso rum, wie es CAcert auch tut. Warum? Beide sind für den Otto Normaluser viel zu kompliziert, trotz aller Versuche, die Verwendung zu vereinfachen. Das ist aber ein anderes Thema...

Bei Let's Encrypt geht es nur um Verschlüsselung ... und nicht um

mehr.

Auch bei Let's Encrypt wird zumindest der Besitz der Domain überprüft und das sogar in recht kurzen Abständen. Wer mehr will, der ist leider heute wie vor zehn Jahren gezwungen, sich ein Zertifikat bei einer der in den Browsern eingetragenen CAs zu kaufen. CAcert ist jedenfalls nur ein Nischenprodukt, das für Enthusiasten oder internen Gebrauch taugt, mehr nicht. Unter dem Gesichtspunkt hat es dann sogar gegenüber Let's Encrypt evtl. sogar Vorteile.

Hinter CAcert steht ja durch die Assurances ein Web-of-Trust (wie bei

PGP auch, wenn man sich mal die die Keyserver anschaut).

Vielen Anwendern ist dieses Web-of-Trust wichtiger als das "grüne

Schloss" im Browser (vor allem im Backend oder bei mehr-oder-weniger

geschlossenen Benutzergruppen).

Für die als Tatsache dargestellte Behauptung mit den "vielen Anwendern", denen das w-o-t wichtiger ist als eine gesicherte Verbindung, hast Du bestimmt eine belegbare Quelle? Die Verbreitung von CAcert gegenüber Let's Encrypt, insbesondere wenn man berücksichtigt, wie lange beide existieren, dürfte wohl (zumindest gefühlt) ein anderes Bild zeigen. Wie ich schrieb: CAcert ist heute nur noch ein eher kompliziertes Nischenprodukt für Nerds, mehr nicht. Und ob dafür der Aufwand u.a. des Einarbeitens lohnt?

Für den Normalnutzer, der auf seiner Website nur das grüne Schloss

haben

will, ohne dass seine Identitaet überprüft werden soll/muss, ist Let's

Encrypt natürlich ausreichend.

Genau um diese Nutzer geht es aber doch hauptsächlich. Schau Dir doch an, wie oft in den letzten Jahren die Fragen hier im Forum kamen, wann denn endlich eine Browserintegration komme. Das genau ist es, was den Leuten wichtig ist und bisher fehlt. Und natürlich, nichts zahlen zu müssen...

Was die Browserintegration angeht: Das grösste Problem bei CAcert ist

allerdings die mangelnde Manpower: Jeder fragt nach, wann CAcert

endlich

in den (grossen) Browsern ist, aber kaum jemand ist bereit, etwas

dafür

zu tun ... und daher dauert vieles bei CAcert wesentlich länger als

geplant ... ;-(

Richtig. Ich habe auch besseres zu tun, insbesondere, wenn ich mir den "Fortschritt" bei CAcert ansehe. Zumal es ja wohl auch nicht nur um die reine Arbeit sondern auch irgendwo ums fehlende Geld gehen dürfte.

Ich habe selbst vor einiger Zeit auf Let's Encrypt umgestellt, obwohl ich nur im familiären Umfeld was anbieten will. Es ist aber tatsächlich den Leuten kaum zu vermitteln, warum sie erst eine "unsichere" Seite berechtigen sollen, wenn doch überall davor gewarnt wird. Noch schlimmer ist es, wenn man z.B. vom Arbeitsplatz-PC zugreifen will und Sicherheitsregeln den Zugriff auf mit Zertifikaten unbekannter CAs abgesicherte Seiten glatt ablehnen. Da taugt dann auch nicht mehr das hier oft gebrachte "Argument", man müsse halt die Besucher im Sinne der besseren Sache erziehen...

CAcert hat prinzipiell ein gutes Konzept, ist aber mittlerweile von anderen Diensten überholt und imho nicht nur zum Scheitern verurteilt, sondern bereits gescheitert. Leider.

    Tschüß und Gruß von der Wieseck,
                                        Dirk «

 

 

Hallo,

 

Dass Hauptproblem von CACeert ist doch wirklich die Tatsache, dass die von CACert zertifizierte Signaturen nicht ohne manuelle Eingriffe im Browser als vertrauenswürdig akzeptiert werden. In Firmen ist man u. U. Überhaupt nicht in der Lage, Drittzertifikate im Broser als Vertrauenswürdig zu deklarieren.

 

Ich hatte mal von über zehn Jahren an einem ATE teilgenommen. Die Argumentation weshalb die Veranstalltung damals stattfand, war, dass für den Audit von CACert es notwendig sei, dass die Assuerer ein Mindesmaß an Qualifizierung benötigen würden. Es wurde damals auch ein entsprechender Test eingeführt, in dem ein Basiswissen abgefragt wurde. Wenn man diesen Test bestand bekam man eine Urkunde ausgestellt.

 

Lets Encrypt hat gegenüber CACert den Vorteil, dass die Zertifikate iTunes U of the box von den gängigen Browsern akzeptiert werden, was für den Normalbenutzer unabdingbar ist. Deshalb habe ich meine Website ebenfalls auf Lets Encrypt umgestellt.

 

Mit freundlichen Grüßen

 

Jochen Schmitt