schokokeks.org

Hosting

Abschied von CAcert

Di, 25. Mär 2014 - 14:43, CC by-sa

Als wir vor langer Zeit schokokeks.org gestartet hatten, hatten wir unsere Server mit SSL-Zertifikaten der Community-Zertifizierungsstelle CAcert ausgestattet. Wir werden CAcert-Zertifikate ab sofort nicht mehr einsetzen und wollen das kurz begründen.

Die Idee von CAcert ist es, den kommerziellen Zertifizierungsstellen ein Projekt entgegenzusetzen, bei dem die Teilnehmer gegenseitig ihre Identität prüfen und man sich kostenlose Zertifikate ausstellen lassen kann. Das Problem von CAcert: Es gelang dem Projekt nie, in die großen Browser aufgenommen zu werden. Der Nutzen blieb deshalb immer beschränkt. Ein erster Versuch, ein Audit durchzuführen und damit von Mozilla aufgenommen zu werden, scheiterte 2009, seitdem gibt es keine sichtbaren Fortschritte.

Zuletzt musste CAcert weitere Rückschläge einstecken: Debian hat beschlossen, das Root-Zertifikat von Cacert nicht mehr auszuliefern, Ubuntu und andere Linux-Distributionen werden wohl folgen. Zudem geht der Trend klar dahin, immer mehr Webseiten nur noch über HTTPS verfügbar zu machen und Techniken wie HSTS einzusetzen. Das führt dazu, dass Webseiten mit Zertifikaten, die vom Browser nicht akzeptiert werden, immer weniger akzeptabel sind.

Dazu kommt: Anders als noch vor einigen Jahren gibt es inzwischen mit StartSSL eine Zertifizierungsstelle, die kostenlose Zertifikate ausstellt. Wir haben deshalb schon vor einiger Zeit für verschiedene Seiten wie beispielsweise den Webmailer und unser Konfigurationsinterface auf Zertifikate von StartSSL umgestellt. Wir hatten allerdings immer noch als Default-Zertifikat für unsere Webserver ein Wildcard-Zertifikat von Cacert konfiguriert und einige weniger wichtige Dienste liefen ebenfalls weiterhin mit diesem Zertifikat.

Wir haben nun beschlossen, dass wir überhaupt keine CAcert-Zertifikate mehr einsetzen werden. Für unseren Webserver haben wir nun ein in allen Browsern gültiges Wildcard-Zertifikat installiert. Wir haben uns hier ebenfalls für StartSSL entschieden. Der Grund hierfür ist, dass wir es sehr begrüßen, dass StartSSL es Nutzern ermöglicht, kostenlose Zertifikate zu erstellen. Wir denken, dass dies in großem Maße dazu beiträgt, dass mehr Nutzer HTTPS auf ihren Webseiten einsetzen und unterstützen daher diese Firma lieber als andere.

Dem Projekt CAcert wünschen wir weiterhin alles Gute. Sollte es irgendwann gelingen, dass das Root-Zertifikat in die gängigen Browser aufgenommen wird, können wir uns gut vorstellen, in Zukunft wieder CAcert-Zertifikate einzusetzen.