Skip to Content.
Sympa Menu

cacert-policy - Re: AW: CCA - blue changes for Root Distribution License - call for vote!

Subject: Policy-Discussion

List archive

Re: AW: CCA - blue changes for Root Distribution License - call for vote!

Chronological Thread 
  • From: Morten Gulbrandsen <lordbyte7 AT>
  • To: cacert-policy AT
  • Subject: Re: AW: CCA - blue changes for Root Distribution License - call for vote!
  • Date: Thu, 21 Oct 2010 02:34:46 +0200
  • Openpgp: id=81802954; url=

Hash: SHA512

ulrich AT
> Hi Morten,
> states in short: There is NO "official" CAP form.
> in detail:
> # There is currently no requirement for an APPROVED form.
> # There is no apparatus defined for APPROVING the form, nor is here a
> custom in use.
> # Any form that includes the elements listed in AP should be treated as
> valid.
>   Or more precisely, an assurance should not be challenged merely on the
> basis
>   that the paperwork is not of an APPROVED form

Dear Ulrich:

Interesting. I will come back to this later, maybe it belongs more in
the handbook or wiki and not in a general set of formal policies.

"Non-Related Person" ("NRP"), being someone who is not a Member, is not
part of the Community, and has not registered their agreement.  Such
people are offered the NRP-DaL another agreement allowing the USE of
certificates.  Such persons may make USE of certificates, but may only
RELY by entering this agreement or other related agreement.

this means that they NRPs or Aliens can only use our public certificate
files: Class 1 PKI Key; Class 3 PKI Key; CAcert's GPG Key and
fingerprints plus:

the NRPs own private secret key *.p12 file, which is not from CAcert, to
verify and decrypt an email signature to verify a website, a codesigned
java jar file ... drivers and program code for software and firmware.
Documentation, support... or any CAcert members signature.

NRP do not have a CAcert certificate, but can use their own certificate
to encrypt to any cacert member. And decrypt from CAcert, our
certificates are compatible with other PKI Cryptographic Certificates.

Only CAcert members has valid CAcert certificates.

I only now see three applications

1) https:// website domains, preventing domaine hijacking or
impersonating. enabling secure private communication, as in blogs,

Assuming your Domain Name system has not been corrupted, DNSSEC, unicode
in domains, OpenNIC doman names, not reachable through Normal official
ICANN or Verisign DNS controlled Servers, At a leter point it may be
interesting to discuss cAcert in i2p Invisible Internet Project, or the
freenet-project networks, Darknet and Opennet.  Which all may deploy
x.509v3 Certificates

email messaging, OpenOffice documents, Word and Excel documents, pdf
documents, can also be signed and verified

Java jar files code signatures,

At a later time any application requiring or requesting digital
signatures and PKI encryption, like HD VoIP, Jabber Chat, can also
deploy a cacert certificate, possibilities are unlimited, However hard
disk encryption and USB memory stick encryption is as far as I know not
deployed. For that other tools and procedures are recommended.

Rely means that the CAcert member is to take responsibility, through
Arbitration, offensive content, SPAM or whatever is objectionable. Not
only for simple mistakes during Assertions and issuing trust points, but
also for possibly Controversial writings, in this case reliability means
responsibility, and accountability. This can be interesting because than
cAcert would protect me, and any alien with a completely different
opnion would be enforced to enter a CAcert community in order to hunt me
down, and as such would agree to not generate n*!s3 as a member to other
members for whatever reason. All CAcert members accept and respect each

Example if (FBI + CIA) and WikiLeaks both entered CAcert, they could
impossibly sue each other. No conflict of interest, both parties has the
same freedom of speech.


Is this useful?  I have still more to say but it is not quite proofread
and ready. Basically entereing an agreement means to be friendly and not
sue any other CAcert member, it is a peace declaration. And a good one.

The set of applications, what is possible and supported,and a small set
of what is impossible and unsupported, e.g. Hard Disk Encryption,
Trusted Computing and anything outside the realm of openssl, SHA-1, RSA
and AES256, or if the private key is misused for impersonating, that is
a problem.

Sincerely yours,

藻留天   具留部覧度船
Morten Gulbrandsen
Java programmer, C++ programmer
CAcert Assurer, GSWoT introducer, thawte Notary
Gossamer Spider Web of Trust
Please consider the environment before printing this e-mail!
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: For keyID and its URL see the OpenPGP message header


Archive powered by MHonArc 2.6.16.

Top of Page