Deutschsprachige CAcert Support Liste

[Io Matheis <jomatcacert AT 0na.de>]

Moin Gregor und alle anderen interessierten mitlesenden,

On 2023-12-22 08:52, Ries, Gregor (Isarpatent) wrote:
> Vielen Dank für die Mühe.

dem muss ich mich anschließen! Vor 10 Jahren war CaCert der absolute 
Segen! Vielen Dank
für alle Beteiligten, egal ob aus dem operativen Betrieb oder denen, die 
Cryptoparties
und Issurances und ähnliches organisiert haben!


> Da unser Unternehmen aber arbeitsfähig bleiben musste und die 
> Zertifikate am Ablaufen waren, sind wir nun komplett zu swisssign 
> gewechselt.

Sieht hier ähnlich aus. Für externe Dienste sind wir schon länger bei LE 
wegen der
Browserakzeptanz, jedoch war unsere interne Infra, wie Monitoring, Wiki, 
Git etc.
mit CaCert abgesichert und auch serverseitig so konfiguriert, dass die 
Leute die
Warnung über abgelaufene Zertifikate nicht einfach wegklicken können. LE 
einzusetzen
ist hier aufgrund der strikten Trennung von internen und externen 
Diensten auch gar
nicht oder nicht so einfach möglich. Interne Domains, die von aussen 
nicht resolven,
Webserver, die von aussen nicht erreichbar sind, sowas…

Um nicht wieder von was externem abhängig zu sein und doof dazustehen 
hab' ich die
Gelegenheit genutzt und in unserem internen Netz eine Kiste mit der 
Step-CA[0]
hingestellt, der macht ACME, die Clients holen sich zwei Mal am Tag ein 
neues Cert
(ja, unsere Certs sind jetzt gerade mal 12 Stunden gültig) und ich muss 
sagen, es
funktioniert bisher flawless. Ausserdem Open Source. Und du kannst so 
Dinge machen
wie ein Constraint, dass die CA nur für Domains in *.intern.example.com 
validieren
darf, was bei solchen öffentlichen CAs wie Swissign oder CaCert nicht 
der Fall ist.
Vielleicht hilfts wem :-)

Liebe Grüße,
Io

[0] https://smallstep.com/docs/step-ca/index.html