Discussion:
Status CAcert
Jörg Frings-Fürst
2016-05-14 09:03:45 UTC
Permalink
Hallo,

gut 2 Jahre nach der Entfernung der CAcert Root-Zertifikate bei Debian
sollte ein Audit mit dem Ziel der Aufnahme der Zertifikate bei Mozilla
initiiert und durchgefÌhrt werden. 

Auf der Seite[1] steht zwar einiges auch aus 2016, aber alles neueren
Datums als finished.


Mein Fragen dazu:

- Wie weit sind die Anforderungen zur Aufnahme bei Mozilla
fortgeschritten?

- Gibt es eine Roadmap ÃŒber die noch offenen Anforderungen?

- Wird UnterstÌtzung benötigt? Und wenn wo und wie?

Schönes Pfingstwochenende.

CU
Jörg

[1] https://wiki.cacert.org/Audit/Plan
Johann Lemke
2016-05-15 21:42:07 UTC
Permalink
Jörg Kastning
2016-05-16 07:31:44 UTC
Permalink
Ich finde es äußerst wichtig, dass die CACert Root Zertifikate
automatisch bei der Installation in die weit verbreiteten Browser und
Mailsysteme - z.B. Firefox plus Thunderbird - gelangen.
Dem stimme ich zu. Dies würde die Verwendung von CAcert-Zertifikaten
deutlich vereinfachen. Leider ist der Weg zu einem Audit lang und teuer.
Für ein Audit muss man nämlich auch tief in die Tasche greifen. Soweit
ich weiß waren es zuletzt ca. 10.000 EUR, die dafür fällig werden. Und
diese Summe wird jedes Mal fällig, wenn man reauditiert wird. Mir ist
nicht klar, wie eine Gemeinschaft aus Freiwilligen das Geld dafür
zusammen bekommen soll.
Wie gerne würde ich mein Zertifikat zur verschlüsselten
Mailkommunikation verwenden. Es ist jedoch absolut illusorisch, einen
normalen Windows Nutzer zu überzeugen, wenn er bereits bei der ersten
Testmail, die ich ihm sende, irgend eine unverständliche Fehlermeldung
sieht, weil der Zertifikats-Herausgeber nicht als vertrauenswürdig
belkannt ist.
Dieses Problem kannst du leicht umgehen, indem du zuvor mit deinem
Kommunikationspartner über die Problematik sprichst und diesem
Gelegenheit gibst, die Wurzelzertifikate von CAcert auf seinem System zu
installieren. Dann wird der Empfänger auch nicht von Warnhinweisen
abgeschreckt.

Natürlich bedeutet dies ein gewisses Maß an zusätzlichem Aufwand. Hier
muss jeder selbst bewerten, wie wichtig es ihm ist signierte E-Mails
versenden zu können.

Jemandem eine signierte E-Mail zu senden, in dem Wissen, dass diese beim
Empfänger eine Warnmeldung provoziert ist jedoch in keinem Fall zielführend.

MfG
Jörg
--
E-Mail: ***@my-it-brain.de
Twitter: https://twitter.com/JoergKastning
Internet: http://www.my-it-brain.de
Threema-ID: K2Y6W49N
OpenPGP-ID: 7A302E30
OpenPGP-Fingerabdruck:
2026 DF56 89B6 F79A E776 B15B 55E2 83FB 7A30 2E30
Gero Treuner
2016-05-16 08:14:28 UTC
Permalink
Post by Jörg Kastning
Wie gerne würde ich mein Zertifikat zur verschlüsselten
Mailkommunikation verwenden. Es ist jedoch absolut illusorisch, einen
normalen Windows Nutzer zu überzeugen, wenn er bereits bei der ersten
Testmail, die ich ihm sende, irgend eine unverständliche Fehlermeldung
sieht, weil der Zertifikats-Herausgeber nicht als vertrauenswürdig
belkannt ist.
Dieses Problem kannst du leicht umgehen, indem du zuvor mit deinem
Kommunikationspartner über die Problematik sprichst und diesem
Gelegenheit gibst, die Wurzelzertifikate von CAcert auf seinem System zu
installieren. Dann wird der Empfänger auch nicht von Warnhinweisen
abgeschreckt.
Meiner Meinung nach ist ein Grundverständnis von kryptografischen
Wirkungsweisen für den Einsatz von Verschlüsselung und Signatur
notwendig. Ohne dies gäbe man die komplette Verantwortung ab und würde
den Betriebssystem-/Browserhersteller absolut blind vertrauen, was ein
wichtiges Argument für jeden sein sollte, sich ein wenig damit zu
beschäftigen. Ist das heutzutage eigentlich Teil der Schulbildung?

S/MIME reduziert den Aufwand im Vergleich zu PGP schon einmal auf die
Verwaltung von Root Certificates.
Post by Jörg Kastning
Natürlich bedeutet dies ein gewisses Maß an zusätzlichem Aufwand. Hier
muss jeder selbst bewerten, wie wichtig es ihm ist signierte E-Mails
versenden zu können.
Richtig. Es bleibt wohl wenig anderes übrig, als den Emailpartnern
mindestens deren Verwaltung - und im Fall von CAcert auch Einrichtung -
nahezubringen. Im eigenen Bereich tue ich das, jedoch stoße ich bei
Umgebungen, die ich selbst nicht benutze (z. B. Android) auf
Schwierigkeiten, weil ich keine eigenen Testmöglichkeiten habe.

Das CAcert-Wiki ist offen (man darf eigene Accounts zum Editieren
erstellen), um allgemeinverständliche Seiten zu gestalten, deren
Verweis unbedarften Anwendern hilft. Viele GUIs wandeln sich stetig,
daher benötigen Anleitungen ständige Pflege.

https://wiki.cacert.org/FAQ/ImportRootCert


Gero
S. H.
2016-05-16 15:06:36 UTC
Permalink
Meiner Meinung nach ist ein GrundverstÀndnis von kryptografischen
Wirkungsweisen fÃŒr den Einsatz von VerschlÃŒsselung und Signatur
notwendig. Ohne dies gÀbe man die komplette Verantwortung ab und wÌrde
den Betriebssystem-/Browserhersteller absolut blind vertrauen, was ein
wichtiges Argument fÃŒr jeden sein sollte, sich ein wenig damit zu
beschÀftigen. Ist das heutzutage eigentlich Teil der Schulbildung?
Leider nicht. Aber wer es nicht fÌr nötig hÀlt, sich zu informieren, dem
bedeutet seine PrivatsphÀre auch nichts. Da hilft es nichts, ihn zu
ÃŒberzeugen, wenn er den Sinn dahinter nicht begreift (nicht begreifen will).
S. H.
2016-05-16 15:09:23 UTC
Permalink
Post by Gero Treuner
Das CAcert-Wiki ist offen (man darf eigene Accounts zum Editieren
erstellen)
Die man aber leider vom Support freischalten lassen muss. Es wÃŒrde dort
sicher mehr Mitarbeit geben, wenn zumindest diejenigen, die ein
CAcert-Zertifikat haben dort direkt bearbeiten dÃŒrften.
Stefan Biernoth
2016-05-17 06:08:42 UTC
Permalink
Moin zusammen,

10000.-€ hm crowdfunding oder wie ser Spass heißt,...

Ne mal im Ernst,

(10000€)/(Anzahl der User von cacert org Weltweit)/3=(Summe des Spendenaufrufs die an alle User geht)

Ich wÀre dabei.


GrÌße

Stefan



-----UrsprÃŒngliche Nachricht-----
Von: cacert-de-***@lists.cacert.org [mailto:cacert-de-***@lists.cacert.org] Im Auftrag von Jörg Kastning
Gesendet: Montag, 16. Mai 2016 09:32
An: cacert-***@lists.cacert.org
Betreff: Re: Status CAcert
Ich finde es Àußerst wichtig, dass die CACert Root Zertifikate
automatisch bei der Installation in die weit verbreiteten Browser und
Mailsysteme - z.B. Firefox plus Thunderbird - gelangen.
Dem stimme ich zu. Dies wÃŒrde die Verwendung von CAcert-Zertifikaten deutlich vereinfachen. Leider ist der Weg zu einem Audit lang und teuer.
FÃŒr ein Audit muss man nÀmlich auch tief in die Tasche greifen. Soweit ich weiß waren es zuletzt ca. 10.000 EUR, die dafÃŒr fÀllig werden. Und diese Summe wird jedes Mal fÀllig, wenn man reauditiert wird. Mir ist nicht klar, wie eine Gemeinschaft aus Freiwilligen das Geld dafÃŒr zusammen bekommen soll.
Wie gerne wÃŒrde ich mein Zertifikat zur verschlÃŒsselten
Mailkommunikation verwenden. Es ist jedoch absolut illusorisch, einen
normalen Windows Nutzer zu ÃŒberzeugen, wenn er bereits bei der ersten
Testmail, die ich ihm sende, irgend eine unverstÀndliche
Fehlermeldung sieht, weil der Zertifikats-Herausgeber nicht als
vertrauenswÃŒrdig belkannt ist.
Dieses Problem kannst du leicht umgehen, indem du zuvor mit deinem Kommunikationspartner Ìber die Problematik sprichst und diesem Gelegenheit gibst, die Wurzelzertifikate von CAcert auf seinem System zu installieren. Dann wird der EmpfÀnger auch nicht von Warnhinweisen abgeschreckt.

NatÃŒrlich bedeutet dies ein gewisses Maß an zusÀtzlichem Aufwand. Hier muss jeder selbst bewerten, wie wichtig es ihm ist signierte E-Mails versenden zu können.

Jemandem eine signierte E-Mail zu senden, in dem Wissen, dass diese beim EmpfÀnger eine Warnmeldung provoziert ist jedoch in keinem Fall zielfÌhrend.

MfG
Jörg

--
E-Mail: ***@my-it-brain.de
Twitter: https://twitter.com/JoergKastning
Internet: http://www.my-it-brain.de
Threema-ID: K2Y6W49N
OpenPGP-ID: 7A302E30
OpenPGP-Fingerabdruck:
2026 DF56 89B6 F79A E776 B15B 55E2 83FB 7A30 2E30
S. H.
2016-05-17 12:27:58 UTC
Permalink
Kann man ernsthaft drÃŒber reden, wenn mal was voran gehn wÃŒrd. Es muss
nichtmal der Abschluss eines Audits sein. Ich wÃŒrde auch fÃŒr die neue
Software und die neuen roots spenden. Nur leider kam schon am 12 MÀrz
dieses Nachricht, dass zumindest das aktuelle Zertifikat neu signiert
worden ist. Trotzdem haben es die Verantwortlichen bis heute nicht
geschafft, dieses neu signierte Root-Zertifikat auf die Server laden.
Man sollte meinen das ist keine große Sache, aber es passiert einfach
nichts. Auch wenn das jetzt einige wieder anpisst, aber so sieht die
RealitÀt nunmal aus. Ich war 2015 auf FrOSCon, hab mich assuren lassen.
Von denm 4 oder 5 Leuten die mich ÃŒberprÃŒft haben, haben gerade einmal
zwei sich die MÌhe gemacht, das spÀter auch einzutragen. Auf meine
Frage, warum man das nicht gleich vor Ort macht, kamen nur
fadenscheinige und kaum nachvollziehbare GrÃŒnde.

Solange das alles bei CAcert so lÀuft sehe ich wenig Anlass fÌr
irgendetwas zu spenden. Da hilft das Gejammere auf der Website ÃŒber den
"Kampf gegen WindmÃŒhlen" bezÃŒglich Spendengeldern nicht weiter. Denn
faktisch bezweifle ich, dass es ÃŒberhaupt irgendjemanden bei CAcert
gibt, der ersten in der Position dazu und zweitens willens und in der
Lage wÀre, eine weltweite Fundraising-Kampagne Ìberhaupt zu starten. Der
ganze Verein ist entweder im Dornröschenschlaf oder so intransparent,
dass dieser Eindruck entsteht. Wenn man sehen wÃŒrde, es gibt einen
Willen, ein Ziel, eine Roadmap, ein Konzept und daran wird auch
gearbeitet, dann wÃŒrden sich auch sehr viel mehr Leute sehr viel
energischer dafÃŒr Engagieren.

Es tut mir echt leid, wenn sich dadurch jetzt wieder einige wenige
beleidigt fÌhlen, die sicher persönlich viel fÌr CAcert tun, aber das
ist der Gesamteindruck und sicher nicht nur meiner und keineswegs bös
gemeint, aber muss eben auch mal gesagt werden, auch auf der englischen
Mailingliste.
Post by Stefan Biernoth
Moin zusammen,
10000.-€ hm crowdfunding oder wie ser Spass heißt,...
Ne mal im Ernst,
(10000€)/(Anzahl der User von cacert org Weltweit)/3=(Summe des Spendenaufrufs die an alle User geht)
Ich wÀre dabei.
GrÌße
Stefan
-----UrsprÃŒngliche Nachricht-----
Gesendet: Montag, 16. Mai 2016 09:32
Betreff: Re: Status CAcert
Ich finde es Àußerst wichtig, dass die CACert Root Zertifikate
automatisch bei der Installation in die weit verbreiteten Browser und
Mailsysteme - z.B. Firefox plus Thunderbird - gelangen.
Dem stimme ich zu. Dies wÃŒrde die Verwendung von CAcert-Zertifikaten deutlich vereinfachen. Leider ist der Weg zu einem Audit lang und teuer.
FÃŒr ein Audit muss man nÀmlich auch tief in die Tasche greifen. Soweit ich weiß waren es zuletzt ca. 10.000 EUR, die dafÃŒr fÀllig werden. Und diese Summe wird jedes Mal fÀllig, wenn man reauditiert wird. Mir ist nicht klar, wie eine Gemeinschaft aus Freiwilligen das Geld dafÃŒr zusammen bekommen soll.
Wie gerne wÃŒrde ich mein Zertifikat zur verschlÃŒsselten
Mailkommunikation verwenden. Es ist jedoch absolut illusorisch, einen
normalen Windows Nutzer zu ÃŒberzeugen, wenn er bereits bei der ersten
Testmail, die ich ihm sende, irgend eine unverstÀndliche
Fehlermeldung sieht, weil der Zertifikats-Herausgeber nicht als
vertrauenswÃŒrdig belkannt ist.
Dieses Problem kannst du leicht umgehen, indem du zuvor mit deinem Kommunikationspartner Ìber die Problematik sprichst und diesem Gelegenheit gibst, die Wurzelzertifikate von CAcert auf seinem System zu installieren. Dann wird der EmpfÀnger auch nicht von Warnhinweisen abgeschreckt.
NatÃŒrlich bedeutet dies ein gewisses Maß an zusÀtzlichem Aufwand. Hier muss jeder selbst bewerten, wie wichtig es ihm ist signierte E-Mails versenden zu können.
Jemandem eine signierte E-Mail zu senden, in dem Wissen, dass diese beim EmpfÀnger eine Warnmeldung provoziert ist jedoch in keinem Fall zielfÌhrend.
MfG
Jörg
--
Twitter: https://twitter.com/JoergKastning
Internet: http://www.my-it-brain.de
Threema-ID: K2Y6W49N
OpenPGP-ID: 7A302E30
2026 DF56 89B6 F79A E776 B15B 55E2 83FB 7A30 2E30
S. H.
2016-05-17 12:53:39 UTC
Permalink
Danke. Ich wusste gar nicht, dass es ein repository gibt. Da kann ich
mir das zumindest mal ansehen. :)

Dennoch gehört das hier > http://www.cacert.org/index.php?id=3 < hin,
ebenso wie die Links zum SVN, Informationen wer wofÌr zustÀndig ist, und
so weiter. Das Problem scheint mir einfach zu sein, dass es entweder
niemanden gibt, der wirklich etwas organisiert oder dies nicht fÃŒr jeden
prominent zu erkennen ist, was fÌr eine Community aber wichtig wÀre, um
sich einzubringen. Ich wÀre auch gerne selber bereit, mich mal ein, zwei
Tage mit Laptop auf eine Veranstaltung zu setzen und zu assuren oder
Informationen zu geben, zu entwickeln, oder was auch immer benötigt
wird, wenn ich weiß, wofÃŒr genau ich mich engagiere, wo wir stehen, wo
wir hinwollen, was mein Beitrag dazu ist, und dass etwas vorwÀrts geht!
http://svn.cacert.org/CAcert/SystemAdministration/signer/re-sign-2016/outputs/
– ansonsten, ja
)
Gero Treuner
2016-05-16 07:52:01 UTC
Permalink
Hallo Jörg,
Post by Jörg Frings-Fürst
gut 2 Jahre nach der Entfernung der CAcert Root-Zertifikate bei Debian
sollte ein Audit mit dem Ziel der Aufnahme der Zertifikate bei Mozilla
initiiert und durchgeführt werden. 
Auf der Seite[1] steht zwar einiges auch aus 2016, aber alles neueren
Datums als finished.
- Wie weit sind die Anforderungen zur Aufnahme bei Mozilla
fortgeschritten?
CAcert ist in der Phase des internen Audits, womit wir zunächst für uns
prüfen, ob wir wichtige Kriterien für ein externes Audit erfüllen.

Die Punkte auf der Wiki-Seite, die nicht als finished markiert sind,
benötigen offensichtlich noch Fortschritte und/oder Arbeit.

Die verlinkten Sessions geben Auskunft. Nicht alle sind einsehbar.
Hier kann Benedikt, interner Auditor, auf Anfrage sicherlich den Stand
mitteilen (Email siehe Wiki).
Post by Jörg Frings-Fürst
- Gibt es eine Roadmap über die noch offenen Anforderungen?
Das Wiki rund um die von Dir gefundenen Seiten sollte die Informationen
dazu widergeben.
Post by Jörg Frings-Fürst
- Wird Unterstützung benötigt? Und wenn wo und wie?
Sicherlich. Vor allem im Softwarebereich ist noch viel zu tun, aber auch
operativ im Bereich Support können wir Hilfe gebrauchen - auch das ist
wichtig. Bitte gehe auf die Team Leads zu, die können besser als ich
beschreiben, wo man "angreifen" kann.

Wiki-Seiten dazu:

https://wiki.cacert.org/HelpingCAcert
https://wiki.cacert.org/comma/Workbench/HelpNeeded


Schöne Grüße
Gero
Lesen Sie weiter auf narkive:
Loading...