Deutschsprachige CAcert Support Liste

[Bernhard Fröhlich <bernhard AT cacert.org>]

Hallo zusammen,

auch ich würde sagen dass "normale" Server-Zertifikate mit Let's Encrypt durch sind. Falls sich LE nicht eine ganz grobe Schote leistet, von der ich zumindest im Moment nichts erkennen kann, ist der Markt abgegrast. Mit der Argumentation "aber wir sind besser" holt man keinen Hund vor den Ofen, zumal es in den allermeisten Fällen zwar rein technisch/organisatorisch stimmen mag, aber für die Anwender absolut irrelevant ist.

Eine Browser-Integration ist heute so weit weg wie schon lange nicht mehr. Im Moment wäre ich froh wenn ich sicher wüsste dass CAcert das Rechenzentrum 2019 bezahlen kann, von einigen zehntausend Euro für ein Audit sind wir aktuell schon sehr weit weg. Selbst wenn ein Gönner für das Geld da wäre dann müsste da noch einiges an Policies und Dokus geschrieben und gelebt werden, die Man/Woman-Power dafür sehe ich gerade auch nicht. Außerdem kann man sich auch auf den Standpunkt stellen dass eine Browser-Inklusion einiges an Attraktivität verliert wenn man festgestellt hat dass man das "Geschäftsfeld" Server-Zertifikate eh begraben kann.

Soweit zu den schlechten Nachrichten.

Aber natürlich ist das nicht alles. CAcert bietet aber auch noch Client-Zertifikate, die hat LE meines Wissens nicht zu bieten. Zusammen mit der Organisations-Assurance hätte man damit das Potential, neben Privatleuten auch kleineren Firmen und Vereinen eine State-of-the-Art E-Mail-Verschlüsselung und Signierung anbieten zu können. Und das existierende Assurer-Netzwerk bietet eigentlich noch ganz andere Gelegenheiten die aber bisher noch gar nicht so richtig durchdacht wurden.

Im Zeitalter von immer besser gemachten Fishing-Kampagnen finde ich es inzwischen deutlich leichter Leute vom Nutzen der Signatur zu überzeugen (die Mail mit dem Attachment ist wirklich von mir!) als von Verschlüsselung (Ich hab' doch nix zu verbergen, das steht ja eh alles auf Facebook)!

Wobei das inzwischen zumindest bei Organisationen die schon mal "DSGVO" gehört haben inzwischen auch wieder etwas anderst ausschaut. Da würde sich eigentlich ein Ansatz bieten dass CAcert ganz kräftig die Werbetrommel rühren könnte!

Ein stärkeres Nutzen von Client-Zertifikaten für Login würde auch einen Ausweg aus dem Dilemma "entweder 1000 Passwörter merken, oder Google/Facebook/Amazon/... weiß wann ich mich die letzten Jahre wo angemeldet habe" bieten. Da müsste man vermutlich vor allem Entwicklern beibringen wie sie das einfach aber richtig implementieren können.

Ich finde also, CAcert hat also immer noch ein "Geschäftsmodell". Und seit der letzten AGM habe ich tatsächlich den Eindruck dass sich CAcert ein wenig aus der Lethargie zu lösen scheint, in die es 2016 nach LE und der, nennen wir es mal "Abspaltung" eines großen Teils des damals aktiven Personals gefallen ist. Im Moment reicht es zwar kaum für das Allerdringlichste, aber im Vergleich zu den letzten zwei Jahren ist das schon eine wesentliche Verbesserung!

Allerdings müsste dieser Ruck (Sorry, aber mir fiel jetzt wirklich keine passendere Vokabel ein :-)) sich noch ein bischen fortsetzen und verbreitern. Rein die Tatsache dass diese Diskussion überhaupt läuft bestärkt mich darin dass CAcert noch nicht tot ist. Aber reines Diskutieren wird CAcert nicht retten. Da braucht es schon noch zusätzlich Software Entwicklung, Public Relations, Support, Spendenwerbung, Arbeiten an Policies (OK, das ist hauptsächlich Diskutieren), Arbitration u.v.m. Also wieder das alte Lied. :-)

Aber das ist nur mein Senf zum Thema.

MfG
Ted
;)

Am 10.12.2018 um 21:48 schrieb Andreas Boehlk:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

@Frank,
Du hast Recht und für Otto stimmt das auch. Jedoch hat CAcert bzgl. meiner vorher genannten Punkte seine Existenz-Berechtigung.
Ich weiß auch nicht so genau, ob ich hoffen soll, daß mit diesen Browser-Zertifikaten nichts schlimmes passiert oder ob es nicht doch mal richtig krachen sollte, damit mal Alle aufwachen.

Andreas

Frank Altpeter <frank AT altpeter.de> hat am 10. Dezember 2018 um 19:26 geschrieben:


Moin,

on 2018-12-10 at 17:23:02 CET, Andreas Boehlk wrote:

Hallo Viktor,

ich stimme Dir in allen Punkten zu.
Ergänzung: CAcert hat als Alleinstellungsmerkmal, daß es die einzige vertrauensvolle CA ist, die kostenfreie Zertifikate ausstellt. Scho deshalb muß es weitergehen.

Ich will dir da jetzt nicht die Illusionen nehmen, aber ich denke, seit
der breiten Akzeptanz von LetsEncrypt hat sich die Blase wohl auch
verabschiedet.

Klar, CACert ist in der Theorie eine gute Sache, aber seien wir mal
ehrlich, mit der Browserakzeptanz steht und fällt das ganze Konzept. Ich
kann das root CA bei mir integrieren, klar, aber ich kann damit keine
Webseite betreiben, weil ich nicht voraussetzen kann, dass alle, die
meine Seite ansurfen, das auch können.

Und LE ist nun mal easypeasy und in den Browsern drin. Und dass das nur
domainvalidated ist und nicht per Persokontrolle, ist dem
Ottonormalbenutzer da draußen erst mal schnuppe, der kennt meist nicht
mal den Unterschied dabei.



Mit freundlichen Grüßen

	Frank Altpeter

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature