CAcert: Identitäts-Überprüfung und freie SSL-Zertifikate

Vortrag | deutsch | Beginner | 45 Minuten | Carsten Logemann

In dieser Session möchte ich primär die CAcert-Community vorstellen. Diese bekommt zwar bald eine brandneue Drupal 7-Website (deren Baustelle bei Intereses gerne gezeigt werden kann), aber es geht vielmehr darum, was die CAcert Community leistet und auch der Drupal Community bieten kann. Ich bemühe mich für die Session wenigstens noch einen Vertreter der CAcert-Community als Co-Presenter zu bekommen.
Update (2012-02-16): Es sieht gut aus, daß noch mehr Vertreter von CAcert anwesend sein werden: http://wiki.cacert.org/Events/DrupalEssen2012

Dem ein oder anderen ist CAcert vllt. schon im Zusammenhang mit freien SSL-Zertifikaten für Server aufgefallen, die auch für viele Drupal-Websites besser sind als selbstsignierte Zertifikate. Bei genauerem Hinsehen sind CAcert-Zertifikate eigentlich sicherer als viele kommerzielle Zertifikate. Kommerzielle Zertifikate bauen auf einem alten Privileg, daß Ihre Wurzel-Zertifikate per default in den großen Browsern und Betriebssystemen aufgenommen sind. Dies macht z.B. für Online-Shops mit flüchtiger Kundschaft zugegeben diese auch noch oft zur ersten Wahl, selbst wenn die Sicherheit nicht so groß ist, wie ein entsprechendes Signal eines Browsers das signalisiert. Für Intranets, Entwicklungs- und Demo-Websites sind CAcert-Zertifikate dann aber sehr interessant. Und wer versucht, SSL-gesicherte Replikation zwischen MySQL/MariaDB oder LDAP-Servern zu etablieren, freut sich schnell über valide Zertifikate. Da selbst Wildcard-Zertifikate kostenlos sind, sind diese in Kombination mit Wildcard-Domains ein wahres Vergnügen auf Test-Systemen.

Die Sicherheit von CAcert basiert darauf, es ein Fundament einer community basierter Identitäts-Überprüfung (assurance) gibt, die ausgefeilten Regeln und Agreements folgt. Diese halten vllt. nicht unbedingt dem Signaturgesetz der BRD stand (was allerdings die meisten kommerziellen Zertifikate auch nicht machen), schlägt aber ein Postident-Verfahren meiner Meinung nach locker und mit dem bekommt man bei einigen Banken ein Konto. Diese Regeln machen nicht nur Server-Zertifikate vertrauenswürdig sondern insbesondere auch Client-Zertifikate. Eine dazu passende technische Lösung eines Zertificats-Login für Drupal wird in der Session "Register- und Login-Security in Drupal" besprochen.

Auf dem Zertifikats-Login aufbauend, gibt Ideen in der CAcert Community, eine Möglichkeit zu schaffen, die diverse von der Community bestätigte Identitäts-Informationen zwischen dem System von CAcert und externen Webanwendungen (z.B. Drupal) austauschen zu können, wenn die entsprechenden Benutzer dafür die Freigabe bestätigt haben (opt in). Eine sichere Altersverifikation ist eine der Funktionen, die im Gespräch sind. Mich persönlich reizt vor allem die Identitäts-Überprüfung durch die weltweit tätige CAcert Community auch für andere Communities nutzen zu können. Da für eine Assurance (Identitäts-Überprüfung) kein Geld verlangt werden darf, passt dies gut zu Free and Open Source - Software und insbesondere zu nicht kommerziellen Communities und nicht staatlichen Organisationen (NGOs).

CAcert Assurance-Möglichkeit: Der Vortragende ist übrigens CAcert Assurer. Es sind alle Interessierten eingeladen (vllt. nicht unbedingt während der Session) sich assuren zu lassen oder andere zu assuren, wenn man schon CAcert Assurer ist. Für Neulinge wäre es gut, sich schon im Vorfeld insbesondere mit dem CAcertCommunityAgreement zu beschäftigen und bei Interesse ein Account anzulegen. Mindestens ein (am besten zwei) amtliche Lichtbild-Ausweise mitbringen (z.B. Personalausweis und einen Führerschein). Gegen eine Kontaktaufnahme im Vorfeld habe ich nichts einzuwenden.