Deutschsprachige CAcert Support Liste

[Magnus Wagner <magnus AT heinzigartig.de>]

Hallo,

was es nützt? Genau das was du da schreibst.
Dadurch dass der browser grün wird, dadurch ist es doch erst benutzbar.

Der User will gar nicht einer CA vertrauen oder nicht. Der will einfach
nur keine "Fehlermeldung".

Zu der Geldsache: Wenn ein praktischer Nutzen dabei herausfällt, dann
sehe ich nicht so große Probleme an 15-30k jährlich heranzukommen.
Der praktische Nutzen wäre die Browserintegration. So wie ich an die
FSFE, den CCC und noch einige andere Spende oder Mitgliedsbeiträge
bezahle, so würde ich das doch hier auch tun. Wenn ich dafür beliebig
viele Zertifikate bekomme ist das sogar noch ein direkter Gewinn für mich.

Andere gemeinnützige Vereine schaffen das im übrigen auch. der DFN
betreibt auch eine PKI und ist gemeinnützig.

Ob man den Auditierungsprozess schaffen kann, kann ich nicht beurteilen.

Magnus

Am 10.12.18 um 21:35 schrieb Jörg Kastning:
> Am 10.12.18 um 20:58 schrieb Magnus Wagner:
>> Was ich sehr schade finde: mir ist nicht wirklich klar woran die
>> Browserintegration eigentlich gescheitert ist.
>> Wo hätte man noch unterstützen können?
>> Fehlt wirklich einfach nur Geld?
> Guten Abend,
>
> falls jemand genauere Zahlen oder Quellen kennt, möge man mich
> korrigieren. Mir ist in der Erinnerung, dass man bei den Kosten mit
> 15.000 bis 30.000 USD/Jahr rechnen muss. Dies ist schon eine Menge Holz
> für einen gemeinnützigen Verein.
>
> Hinzukommt, dass die Auditierungsprozesse und
> Zertifizierungsanforderungen des CA/Browser-Forums auf kommerzielle
> Unternehmen ausgerichtet sind. Einem Verein dürfte es schon allein
> aufgrund der formellen und strukturellen Unterschiede schwer fallen,
> diese Prozesse erfolgreich zu durchlaufen.
>
> Doch was nutzt es, wenn CAcert in die Liste der "vertrauenswürdigen" CAs
> aufgenommen wird? Sie reit sich damit in die Liste der übrigen CAs ein,
> von denen kein (nicht CAcert-)Nutzer weiß, warum er dieser mehr oder
> weniger vertrauen soll, als jeder anderen.
>
> Meine These lautet, dass die überwiegende Mehrheit der Anwender den
> Unterschied zwischen einem *domain validated* und einem *organisation
> validated* Zertifikat im Browser nicht erkennen können.
>
> Und nun mal Hand aufs Herz, wer von euch schaut sich wie häufig die
> Zertifikat-Details an und überprüft diese? Meine These, wenn es nicht
> gerade Teil eines Troubleshootings ist, werden dies die wenigsten tun.
>
> Leider mache ich immer wieder die Erfahrung, dass selbst vielen
> sogenannten IT-Professionals das grundlegende Verständnis von
> symmetrischer und asymmetrischer Verschlüsselung fehlt und sie die
> Funktionsweise einer PKI kaum bis gar nicht interessiert. Ein
> kostenloses Zertifikat, ein grünes Schloss im Browser und ein besseres
> Suchmaschinenranking sind die Ziele, die hier meist im Vordergrund stehen.
>
> Gruß
> Jörg
>