SSL Zertifikate

Wir nutzen als Zertifizierungsstelle unserer Dienste (mail SSL und https) CAcert.org. Unten findet Sie Antworten auf Fragen zu unserer SSL Verschlüsselung. Klicken Sie einfach auf die Balken um die Antworten zu sehen.

 

Ein SSL Zertifikat sichert die Kommunikation Ihres Browsers mit einem Server mittels Verschlüsselung und Identifizierung des Servers ab. Stellt eine Webbrowser eine Verbindung zu einer gesicherten Website her, ermöglicht das SSL Zertifikat eine gesicherte Verbindung. Das Verfahren ist vergleichbar mit dem Versiegeln eines Briefs vor dem Versenden.

SSL Zertifikate schaffen Vertrauen, weil jedes SSL Zertifikat Identifizierungsinformationen enthält. Wenn Sie ein SSL Zertifikat anfordern, verifiziert eine Drittpartei (Eine Zertifizierungsstelle wie in unserem Falle CAcert.org) die aufgerufene Webseite oder den aufgerufenen Mail Server und gibt auf der Basis dieser Daten ein nur für diese Seite bestimmtes Zertifikat aus. Dies wird als Authentifizierung bezeichnet.

 

Ein SSL Zertifikat identifiziert jeweils eine bestimmte Domain (wie etwa pixelbunker.de) und einen Webserver, wie den auf dem Sie sich gerade mit Ihrem Browser aufhalten. Zertifizierungsstellen verifizieren die von Einzelpersonen und Organisationen übermittelten Informationen anhand unterschiedlicher Methoden. Zertifizierungsstellen, wie CAcert.org, sind weithin bekannt und genießen den Respekt der Administrations-Community. 

 

Wenn man als Web Dienstleister einen SSL Service anbieten möchte (Egal ob Mail oder HTTPS) und nicht möchte, dass beim Kunden bzw. Betrachter der Seite ein sogenannter Panik-Dialog* aufgeht, so muss man als Web Dienstleister ein Zertifikat von einer Zertifizierungsstelle kaufen, von der im Client System schon bei der System-Installation ein Zertifikat angelegt wurde. Diese Zertifikate müssten bei uns jährlich aufgefrischt werden und jedesmal muss ein nicht unerheblicher Betrag dafür bezahlt werden. Laut weitläufiger Meinung handelt es sich bei diesen standardmäßigen root Zertifikaten um sogenanntes Schlangenöl. Kommerzielle root Zertifikate Verkäufer profitieren von Ihrer Stellung als standardmäßig «vertrauensvolle Zertifizierungsstelle». Mit Sicherheit hat das nicht viel zu tun.

Die von uns präferierte Zertifzierungsstelle CAcert.org ist nicht standardmäßig vorinstalliert und muss zur Vermeidung des Panik-Dialogs* nachträglich einmalig installiert werden. Ist dies geschehen, so wird jeder Verbindung zu einer Seite, welche durch CAcert.org verifiziert wurde, vertraut und der Panik-Dialog tritt bei diesen Seiten nie wieder auf.

 

*sogenannter Panik Dialog bei Firefox:

 

Unsere Meinung: Weil es kostenlos ist und damit das Geschäftsfeld von Zertifikatverkäufern untergräbt.

 

Wikipedia meint dazu folgendes:

  • Bei kommerziellen Anbietern können keine Zertifikate kostenfrei beantragt werden, bei denen der Name des Anwenders ins Zertifikat aufgenommen wird. CAcert ermöglicht dies, jedoch ist CAcert im Gegensatz zu kommerziellen CAs in vielen E-Mail-Clients und Webbrowsern nicht in der Zertifikatsdatenbank als vertrauenswürdige Zertifizierungsstelle eingetragen. Ein Benutzer, der eine Verbindung zu einem Server mit CAcert-Zertifikat aufbaut, wird daher eine Meldung erhalten, dass die Herkunft des Zertifikats nicht überprüft werden konnte. Analog kann man die E-Mail-Signatur eines Client-Zertifikats nicht prüfen. Der Anwender kann jedoch die Root-Zertifikate von CAcert manuell importieren und damit als vertrauenswürdig einstufen, wonach alle von CAcert herausgegebenen gültigen Zertifikate ohne Warnung angenommen werden.
  • Bestrebungen seitens CAcert, in freier Software der Mozilla-Familie (Firefox, Thunderbird) als vertrauenswürdiger Herausgeber für ein Root-Zertifikat integriert zu werden, waren bisher erfolglos. Die Mozilla Foundation hat zudem die Kriterien für die Aufnahme neuer Root-Certs öffentlich diskutiert und im Ergebnis verschärft, wobei alte Certs aber aus praktischen Erwägungen erhalten bleiben. Verlangt wird nun ein Audit, das Organisation, Prozesse und Technik prüft; CAcert selbst habe auf die Entwicklung dieser Kriterien Einfluss gehabt.
  • Wegen Umstrukturierungen in der Leitung von CAcert hat die Organisation Ende April 2007, nach 3 1/2 Jahren Diskussion mit der Mozilla Foundation, kurzzeitig den Antrag auf Aufnahme in die Root Chain der Mozilla Produkte zurückgestellt. Seitdem wird an dem Audit, welches zur Aufnahme notwendig ist, und an anderen Qualitätssicherungsmaßnahmen weiter gearbeitet.
  • Eine Reihe von anderen Softwareprodukten sowie Open-Source-Distributionen haben das CAcert-Root-Zertifikat jedoch integriert.

 

Was meint der Internet— und Verschlüsselungsexperte Felix von Leitner zu CAcert.org:

 

… Ich habe keine Ahnung, wieso die [CAcert.org] nicht bei den Browsern drin sind als vertrauenswürdig, ich finde CAcert persönlich vertrauenswürdiger als sagen wir Equifax, die Telekom oder CNNIC. Denn bei CAcert kann man den GPL-Quellcode runterladen. Und die Mailinglistenarchive sind öffentlich einsehbar. …

Vielleicht sollte ich noch klarer sagen: ich habe die CAcert root key in meinen Trusted Root im Browser eingetragen …

(Hier klicken hier für den gesamten Text)

 

Und da fefe quasi eine eigene Instanz in Sachen Web-Sicherheit ist, vertrauen wir seiner Aussage und empfehlen das unseren Kunden gerne weiter ...

 

Laden Sie sich folgende Datei auf Ihren Rechner:

Zertifikate von CAcert.org (2 Zertifikate ZIP Datei)

Dieses Zertifikat können Sie sich auch direkt über die Seite von CAcert.org laden. Dort wählen Sie «Klasse 1 PKI Schlüssel, Stammzertifikat (PEM Format)» und «Klasse 3 PKI Schlüssel, Zwischenzertifikat (PEM Format)».  Link zu CAcert.org

Hier kommen Sie zu den weiteren Installationsschritten unter OSX 10.9: Klick mich

 

Hier kommen Sie zu den weiteren Installationsschritten unter Windows Internet Explorer und Outlook: Klick mich

 

Hier kommen Sie zu den weiteren Installationsschritten unter Mozilla, Firefox, Thunderbird & Opera:  Klick mich

 

Hier kommen Sie zu den weiteren Installationsschritten unter iOS:  Klick mich

Fragen Sie uns!

Sollten Sie noch Fragen haben, so stehen wir Ihnen gerne zur Verfügung.

Kontakt

 


Die Stammzertifikate von cacert.org findet Sie auch unter folgendem Link:

CAcert.org

Laden Sie sich dort für Windows das

Windows Installationspaket,

für andere Anwendungen das

Stamm- und Zwischenzertifikat

im Format PEM.