Skip to Content.
Sympa Menu

cacert-policy - Re: New Roots: Hierarchical Structure vs. Most Browsers aka Theory vs. Practice

Subject: Policy-Discussion

List archive

Re: New Roots: Hierarchical Structure vs. Most Browsers aka Theory vs. Practice

Chronological Thread 
  • From: Dieter Hennig <dieter.hennig AT>
  • To: <cacert-policy AT>
  • Subject: Re: New Roots: Hierarchical Structure vs. Most Browsers aka Theory vs. Practice
  • Date: Wed, 31 Mar 2010 12:57:37 +0200

Dear Daniel, dear Michael,

Daniel Black schrieb am 31.03.2010 04:17:
> On Wednesday 31 March 2010 13:07:23 Michael Tänzer wrote:
>>> In short my assessment of this is:
>>> 1. good gains for end users who want to trust/not trust specific roots
>>> 2. harder barrier to entry for end users who don't care ("what I need to
>>> add two roots?" at least until root inclusion occurs)
>> Or they're going like "oh I have to click two buttons instead of one, oh
>> well, still better than layer ads, clicking through licenses, waiting
>> because you don't have a premium account for downloading something or
>> flash advertisements with sound".
>> The risk I'm seeing here is that apart from Mozilla there might be other
>> browser vendors who might consider adding CAcert to their trusted roots
>> once we have got the audit done. But some may choose that they only want
>> the class3 type of certs to be trusted so they need to exclude the
>> members subroot somehow. If they have those quirks in their
>> implementation they're not going to say "CAcert's roots don't get
>> properly recognised in our browser, let's fix our code", but simply
>> ignore us.
> good points - I'm not deciding - consensus rules after all. Other opinions 
> here?

Maybe both of you are closer in practice, as you believe?

a.) You agree about TSL/SSL-server certificates.
b.) Let us talk for simplicity only about one client certificate, as an

Daniel wants to have: Root --> Subroot

If I understand Thunderbird store properly,  I have to import both (and
the same the Mozilla people have to do). Right?

Michael wants to have one Root (for TSL/SSL) and one Client-Root.

Mozilla people have to include the first one  into Mozilla store, the
second one into Thunderbird store (MS-people have to include both,
because IE and mailclients are using the same store).

What would Mozilla people do? They like to keep the Mozilla store the
same as the Tunderbird store, they include also both. Or not?

In practice, I could live with both solutions.

Please, let me express, that for client-certificates I'm not so unhappy
about, how nowadays CAcert signing server is using CN-, O- and OU-fields
with one and the same certificate. Assurer-certificates are not needed
for me.

Maybe we can cover our needs in the new client-roots (with subroots) in
the same way?

If the quality of a signature become important (Michaels argument to
ignore CAcert), it will be proofed individual (as always). The Web of
Trust is pedagogical interesting, but not accepted in any jurisdiction.
But I would not deliver a predetermined breaking point.

And please consider that client certificates are used for code-signing
and document signing as well, not only for S/MIME. At least Adobe has
one more certificate store, we have to come into somehow with our

Best Regards


Dieter Hennig
ETH Zuerich, STB G 18.2
8092 Zuerich, Stampfenbachstr. 69
Tel: +41 44 632 4278
Fax: +41 44 632 1900

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature

Archive powered by MHonArc 2.6.16.

Top of Page