imported>Trustable: Kleinigkeiten verbessert

2026-04-08T00:05:33Z

Kleinigkeiten verbessert

Neue Seite

{{Infobox Organisation
| Name = CAcert Incorporated
| Logo = Logo CAcert.svg
| Rechtsform = Verein
| Gründungsdatum = 24. Juli 2003
| Gründer = Duane Groth
| Sitz = [[Genf]], Schweiz
| Breitengrad = 46.200013
| Längengrad = 6.149985
| ISO-Region = CH-GE
| Personen = Dirk Astrath
| Aktionsraum = weltweit
| Schwerpunkt = Gemeinschaftsbetriebene Zertifizierungsstelle
| Umsatz =
| Freiwilligenzahl = 5600
| Mitarbeiterzahl =
| Mitgliederzahl =
| Eigentümer =
| Motto =
| Website = [http://www.cacert.org/ www.cacert.org]
| Auflösungsdatum =
| Fußnoten =
| Vorläufer =
}} 

'''CAcert''' ist eine gemeinschaftsbetriebene, nichtkommerzielle [[Zertifizierungsstelle (Digitale Zertifikate)|Zertifizierungsstelle]] (Certification Authority, kurz CA), die von der in Genf domizilierten, vormals in [[Australien]] eingetragenen, [[Nonprofit-Organisation]] '''CAcert Incorporated''' betrieben wird. CAcert stellt für jedermann kostenfrei [[X.509]]-[[Digitales Zertifikat|Zertifikate]] für verschiedene Einsatzzwecke aus und soll eine Alternative zu den kommerziellen Zertifizierungsstellen sein, die zum Teil recht hohe Gebühren für ihre Zertifikate erheben.

== Organisation ==
Träger von CAcert ist ''CAcert Incorporated'', eine im australischen [[Gliedstaat|Bundesstaat]] [[New South Wales]] unter der Nummer INC9880170 gegründeten nichtkommerzielle Organisation, die in der Form eines [[Verein]]s organisiert ist.<ref name="asic" /> Dementsprechend gibt es einen [[Vorstand]], der aus sieben Personen besteht. Die Mitgliedschaft im Verein kann allerdings nur erlangt werden, wenn zwei Mitglieder den Anwärter unterstützen und der Vorstand zustimmt.<ref name="cacert-inc" />

Die CAcert-Zertifizierungsstelle wird auf mehreren Servern betrieben, deren Betrieb seit August 2013 an den gemeinnützigen Verein secure-u e. V. übertragen wurde.<ref name="secure-u" /> Abgewickelt wird die Zertifikatserstellung über die Website von CAcert im geschützten Mitgliederbereich.

Die Prozesse und Bedingungen zur Nutzung von CAcert werden durch eine Reihe von [[Policy|Richtlinien]] ''(Policies)'' geregelt, von denen das ''CAcert Community Agreement''<ref name="cca" /> die wichtigste ist, da jeder Nutzer diese Vereinbarung akzeptieren muss und bei einer Identitätsbestätigung auch unterschreibt. Weitere Richtlinien regeln u. a. das Vorgehen bei der Bestätigung von Personen- oder Organisationsdaten.<ref name="ap" /><ref name="oap" />

=== Vertrauensnetzwerk ===
Für das Ausstellen von Zertifikaten ist keine Mitgliedschaft im Verein erforderlich. Stattdessen sind die Nutzer von CAcert-Zertifikaten in einem [[Vertrauensnetzwerk]] ''(Web of Trust)'' organisiert. Jeder Nutzer unterhält dazu ein [[Benutzerkonto]] mit vollständigem Namen, Geburtsdatum und [[E-Mail-Adresse]]. Neben einem [[Passwort|Zugangskennwort]] müssen die Nutzer zusätzlich fünf [[Sicherheitsfrage]]n festlegen, deren korrekte Antworten nur sie selbst kennen. Bei einem Verlust des Passwortes müssen diese Fragen korrekt beantwortet werden, um den Zugang zum Benutzerkonto zu erhalten.

Jedem Konto ist ein Punktestand zugeordnet. Die Anzahl der Punkte reicht von anfangs 0 bis zu maximal 150 Punkten und repräsentiert die Vertrauenswürdigkeit der in den Zertifikaten enthaltenen Personendaten. Punkte können hinzugewonnen werden, indem sich die Mitglieder des Web of Trust persönlich treffen, ihre Identität prüfen, diese gegenüber CAcert bestätigen und dadurch eine gewisse Zahl von Punkten erhalten.

Die Zahl der geprüften CAcert-Mitglieder lag am 10. September 2014 bei ca. 287.000 Nutzern mit knapp 78.500 gültigen Zertifikaten.<ref name="stats" />

=== Schlichtungsstelle ===
Zu CAcert gehört auch eine [[Schlichtungsstelle]] ''(Arbitration)'', die auf Basis des privatrechtlichen Schlichtungsrechts arbeitet und bei Verstößen gegen die Nutzungsbedingungen oder missbräuchliche Nutzung von Zertifikaten auf Antrag tätig wird und auch [[Geldbuße]]n bis zu einer Höhe von 1.000 Euro verhängen kann.<ref name="cca" /> Die Schlichtungsstelle soll CAcert-Nutzer im Falle von drohenden zivilrechtlichen Streitigkeiten vor kostspieligen Gerichtsprozessen bewahren. Auch die Änderung oder Korrektur der Identitätsdaten wird über den Schlichtungsweg bearbeitet. Die Vorgehensweise im Schlichtungsverfahren wird durch eine eigene Policy geregelt.<ref name="drp" />

== Zertifikate ==
Direkt nach der Registrierung des Benutzerkontos lassen sich sofort beliebig viele Zertifikate ausstellen. Diese enthalten nur die durch eine automatische Test-E-Mail überprüfte E-Mail-Adresse, als Name ''(Common Name)'' wird „CAcert WoT User“ eingetragen. Nach dem Erhalt von mindestens 50 Punkten lassen sich auch personalisierte Zertifikate mit eingetragenem Namen ausstellen.

Neben der Ausstellung von Zertifikaten können auch [[Pretty Good Privacy|PGP]]- oder [[OpenPGP]]-Schlüssel von der CA signiert werden.

=== Client-Zertifikate ===
Neben der primären E-Mail-Adresse des Benutzerkontos können weitere E-Mail-Adressen eingetragen werden. Für jede E-Mail-Adresse oder mehrere in Kombination können Zertifikate ausgestellt werden. Sie dienen zum Beispiel zum [[Verschlüsselung|Verschlüsseln]] und [[Elektronische Signatur|Signieren]] von E-Mails und anderen Daten und können zur passwortlosen [[Authentifizierung]] an Servern verwendet werden – die CAcert-Website selbst unterstützt diese Anmeldung mit Zertifikat.

Ab einem Punktestand von 100 können auf Anfrage auch Zertifikate ausgestellt werden, die zum Signieren von Software verwendet werden können ''(Code-Signing)''.

=== Server-Zertifikate ===
[[Digitale Signatur#Zertifikatbasierte Systeme|Server-Zertifikate]] sollen die Zugehörigkeit eines Servers zu einer Person oder einem Unternehmen bestätigen und dienen als Basis für verschlüsselte [[Transport Layer Security|SSL/TLS]]-Verbindungen. Es gibt verschiedene Dienste, bei denen Server-Zertifikate zum Einsatz kommen. Dazu gehören u. a. [[Hypertext Transfer Protocol Secure|HTTPS]], [[SSH File Transfer Protocol|SFTP]], [[SMTPS]], [[POP3S]] und [[Internet Message Access Protocol#IMAPS|IMAPS]]. CAcert bietet auch solche Zertifikate an, allerdings enthalten diese zunächst nur den Domainnamen und keine Angaben zur Person oder Organisation, wodurch zwar Verschlüsselung möglich ist, aber keine Identitätsbestätigung. Mit der ''Organisation Assurance'' besteht aber auch die Möglichkeit für Organisationen, deren Identität von besonders geschulten CAcert-Mitglieder prüfen zu lassen. Anschließend können die Organisationsdaten in Server-Zertifikate aufgenommen werden.

== Identitätsprüfung ==
Die Überprüfung der Identität findet bei kommerziellen Zertifikatsausstellern in der Regel zentralisiert beim Aussteller statt. CAcert delegiert diese Aufgabe ''(Assurance)'' an das Vertrauensnetz: Ein erfahrener Nutzer, der mindestens 100 Punkte und eine Online-„Assurerprüfung“ erfolgreich bestanden hat ''(Assurer)'', überprüft anhand amtlich ausgestellter [[Lichtbildausweis]]e (z. B. [[Personalausweis]], [[Reisepass]], [[Führerschein]] o. ä.) bei einem persönlichen Treffen die Identität eines anderen Nutzers ''(Assuree)'' und darf im Erfolgsfall bis zu 35 Punkte vergeben, welche über die CAcert-Website dem Assuree zugeordnet werden. Der Bestätigungsvorgang wird schriftlich dokumentiert und vom Assurer und Assuree unterschrieben; dieses „Identitätsüberprüfungs-Formular“ (auch „CAP-Formular“ genannt) wird anschließend vom Assurer für mindestens sieben Jahre aufbewahrt. Um einen Stand von 50 Punkten zu erreichen, sind mindestens zwei Bestätigungen durch unterschiedliche Assurer erforderlich ([[Mehr-Augen-Prinzip]]).

Als Alternative existiert das „Trusted Third Party-Programm“ (TTP), durch das eine Prüfung mittels vertrauenswürdiger Dritter ([[Notar]]e, [[Bank]]en etc.) möglich ist. Dieses Programm soll die Assurance in Regionen ermöglichen, in denen die Assurerdichte noch gering ist, hiermit lassen sich zurzeit jedoch nur maximal 70 Punkte erreichen. Im September 2013 gab es diese Möglichkeit für die [[Vereinigte Staaten|USA]], [[Puerto Rico]], [[Virgin Islands]] und [[Australien]]; für [[Brasilien]], [[Norwegen]], das [[Vereinigtes Königreich|Vereinigte Königreich]], [[Neuseeland]], [[Indien]] und [[Südafrika]] befindet sich das TTP in Vorbereitung. Nicht mehr angeboten wird die Prüfung durch Dritte in [[Deutschland]], [[Österreich]], der [[Schweiz]] und den [[Niederlande]]n, da hier flächendeckend genügend Assurer vorhanden sind.<ref name="ttp" />

Bei einem Stand von 100 Punkten kann ein Mitglied durch andere Assurer keine weiteren Punkte erhalten. Für jede selbst durchgeführte Assurance werden jedoch 2 Punkte gutgeschrieben. Nach der Bestätigung von 25 Personen ist die Höchstpunktzahl von 150 Punkten erreicht; zusätzliche Assurances erhöhen den Punktestand nicht weiter, werden aber trotzdem gezählt und registriert, da eine fehlerhafte Assurance prinzipiell durch eine Schlichtungsentscheidung nichtig werden kann.

Die Punktzahl eines Kontos bestimmt den Status des Mitglieds/Assurers und beeinflusst die Zertifikatseigenschaften wie folgt:

{| class="wikitable sortable"
! Punkte !!class="unsortable"| Status !!class="unsortable"| Voraussetzung !!class="unsortable"| Bedeutung
|-
| data-sort-value="0" | {{0|00}}0–{{0}}49
| Unbestätigtes Mitglied
| rowspan="3" | Verifikation der E-Mail-Adresse bzw. Domain
| Anonyme Client- und Server-Zertifikate (6 Monate gültig) können ausgestellt werden.
|-
| data-sort-value="50" | {{0}}50–{{0}}99
| Bestätigtes Mitglied
| Der Name des Mitglieds wird ins Zertifikat aufgenommen, Client- und Server-Zertifikate sind 24 Monate gültig, PGP-Schlüssel können signiert werden.
|-
| data-sort-value="100" | 100
| Potentieller Assurer
| Maximale Punktanzahl, die durch andere Assurer erreichbar ist.
|-
| data-sort-value="101" | 100–109
| rowspan="6" | Assurer
| Bestandene Assurerprüfung
| Dritte können verifiziert werden. Für jede Assurance gibt es 2 Punkte. Erstellung von Code-Signing-Zertifikaten (12 Monate gültig) nach manueller Beantragung möglich. Kann Organisations-Admin werden. 10 Punkte können vergeben werden.
|-
| data-sort-value="110" | 110–119
| 5 Mitglieder Assured
| 15 Punkte können vergeben werden.
|-
| data-sort-value="120" | 120–129
| 10 Mitglieder Assured
| 20 Punkte können vergeben werden.
|-
| data-sort-value="130" | 130–139
| 15 Mitglieder Assured
| 25 Punkte können vergeben werden.
|-
| data-sort-value="140" | 140–149
| 20 Mitglieder Assured
| 30 Punkte können vergeben werden.
|-
| data-sort-value="150" | 150
| 25 Mitglieder Assured
| Höchstpunktzahl erreicht. 35 Punkte können vergeben werden. Kann Organisations-Assurer werden.
|}

Ausnahme: [[Minderjährigkeit|Minderjährige]] Assurer können unabhängig von ihrem Punktestand maximal 10 Punkte vergeben.

Am 1. Dezember 2013 waren 5.700 Mitglieder geprüfte Assurer, ca. 10.300 Personen hatten den Status eines potentiellen Assurers.<ref name="stats" />

== Vertrauenswürdigkeit ==
[[Datei:CAcert-Fehlermeldung von Internet Explorer.png|mini|[[Microsoft Internet Explorer]] empfiehlt ausdrücklich, die Seite nicht zu betreten.]]
[[Datei:CAcert-Fehlermeldung von Firefox.png|mini|[[Mozilla Firefox]] zeigt eine Fehlermeldung, wenn die CAcert-Rootzertifikate nicht importiert sind.]]
Bei kommerziellen Anbietern können keine Zertifikate kostenfrei beantragt werden, bei denen der Name des Anwenders ins Zertifikat aufgenommen wird. CAcert ermöglicht dies, jedoch ist CAcert im Gegensatz zu kommerziellen CAs in vielen [[E-Mail-Client]]s und [[Webbrowser]]n nicht in der Zertifikatsdatenbank als vertrauenswürdige Zertifizierungsstelle eingetragen. Ein Benutzer, der eine Verbindung zu einem Server mit CAcert-Zertifikat aufbaut, wird daher eine Meldung erhalten, dass die Herkunft des Zertifikats nicht überprüft werden konnte. Analog kann man die E-Mail-Signatur eines Client-Zertifikats nicht prüfen. Der Anwender kann jedoch die Root-Zertifikate von CAcert manuell importieren und damit als vertrauenswürdig einstufen, wonach alle von CAcert herausgegebenen gültigen Zertifikate ohne Warnung angenommen werden.

Bestrebungen seitens CAcert, in freier Software der [[Mozilla]]-Familie (Firefox, Thunderbird) als vertrauenswürdiger Herausgeber für ein Root-Zertifikat integriert zu werden, waren bisher erfolglos. Die Mozilla Foundation hat zudem die Kriterien für die Aufnahme neuer Root-Certs öffentlich diskutiert und im Ergebnis verschärft,<ref name="mozillaPolicy" /> wobei alte Certs aber aus praktischen Erwägungen erhalten bleiben. Verlangt wird nun ein [[Audit]], das Organisation, Prozesse und Technik prüft; CAcert selbst habe auf die Entwicklung dieser Kriterien Einfluss gehabt.<ref name="bugzilla1" />

Wegen Umstrukturierungen in der Leitung von CAcert hat die Organisation Ende April 2007, nach {{Bruch|3|1|2}} Jahren Diskussion mit der [[Mozilla Foundation]], kurzzeitig den Antrag auf Aufnahme in die ''Root Chain'' der Mozilla-Produkte zurückgestellt.<ref name="bugzilla2" /> Seitdem wird an dem Audit, welches zur Aufnahme notwendig ist, und an anderen Qualitätssicherungsmaßnahmen weiter gearbeitet.

Eine Reihe von anderen Softwareprodukten sowie Open-Source-[[Distribution (Software)|Distributionen]] haben das CAcert-Root-Zertifikat jedoch integriert.<ref name="inclusion" />

== Siehe auch ==
* [[Let’s Encrypt]]

== Weblinks ==
* [http://www.cacert.org/index.php?id=0&lang=de_DE Offizielle Website]
* [http://wiki.cacert.org/InclusionStatus Aufnahme-Status]
* [https://cre.fm/cre027-cacert Interview mit Henrik Heigl von CAcert], [[CRE (Podcast)|CRE]] Nr. 27 vom 7. Mai 2006
* [https://www.hackerfunk.ch/audio/HF036-CACert.ogg Podcast zum Thema CAcert], [[Hackerfunk]]-Radiosendung vom 18. Juni 2010, [[Ogg]]-Audiodatei (schweizerdeutsch, 84 MB)
* [https://www.deutschlandfunk.de/zertifikate-fuer-alle.684.de.html?dram:article_id=41869 ''Zertifikate für alle – CAcert stellt kostenlos sichere Internet-Pässe aus''.] [[Deutschlandfunk]], 24. März 2007

== Einzelnachweise ==
<references>
<ref name="asic">{{Internetquelle |url=https://connectonline.asic.gov.au/RegistrySearch/faces/landing/SearchRegisters.jspx?_adf.ctrl-state=6wu34tue0_4 |titel=CACERT INCORPORATED |werk=ASIC |sprache=en |abruf=2023-09-08}}</ref>
<ref name="cacert-inc">
[http://wiki.cacert.org/CAcertInc CAcertInc] im CAcert-Wiki, abgerufen am 12. September 2013.
</ref>
<ref name="secure-u">
M. Mängel: [http://blog.cacert.org/2013/08/secure-u-ensures-the-operation-of-the-cacert-servers-secure-u-sichert-den-betrieb-der-cacert-server ''secure-u ensures the operation of the CAcert-servers / secure-u sichert den Betrieb der CAcert-Server''] im CAcert-Blog vom 25. August 2013, abgerufen am 12. September 2013.
</ref>
<ref name="cca">
[http://www.cacert.org/policy/CAcertCommunityAgreement.php CAcert Community Agreement] auf CAcert, abgerufen am 26. Februar 2015.
</ref>
<ref name="ap">
[http://www.cacert.org/policy/AssurancePolicy.php Assurance Policy] vom 8. Januar 2009 auf CAcert, abgerufen am 12. September 2013.
</ref>
<ref name="oap">
[http://www.cacert.org/policy/OrganisationAssurancePolicy.php Organisation Assurance Policy] (Entwurf) auf CAcert, abgerufen am 12. September 2013.
</ref>
<ref name="drp">
[http://www.cacert.org/policy/DisputeResolutionPolicy.php ''Dispute Resolution Policy''] (Entwurf) auf CAcert, abgerufen am 12. September 2013.
</ref>
<ref name="stats">
[https://www.cacert.org/stats.php CAcert.org Statistiken] auf CAcert, abgerufen am 12. September 2013.
</ref>
<ref name="ttp">
[https://wiki.cacert.org/TTP/TTPAL Informationsseite zum Trusted Third Party-Programm] im CAcert-Wiki vom 16. September 2013, abgerufen am 16. Oktober 2015.
</ref>
<ref name="mozillaPolicy">
[http://www.mozilla.org/projects/security/certs/policy Mozilla CA Certificate Policy (Version 2.2)] (englisch) auf Mozilla, abgerufen am 12. September 2013.
</ref>
<ref name="bugzilla1">
Frank Hecker: [https://bugzilla.mozilla.org/show_bug.cgi?id=215243#c115 ''CAcert root cert inclusion into browser''.] Bugzilla@Mozilla, 19. April 2006 (englisch); abgerufen am 12. September 2013.
</ref>
<ref name="bugzilla2">
Nick Bebout: [https://bugzilla.mozilla.org/show_bug.cgi?id=215243#c165 ''CAcert root cert inclusion into browser''.] Bugzilla@Mozilla, 27. April 2007 (englisch); abgerufen am 12. September 2013.
</ref>
<ref name="inclusion">{{Internetquelle |url=http://wiki.cacert.org/InclusionStatus |titel=Browser Inclusion Status |werk=CAcert Wiki |datum=2017-12-03 |sprache=en |abruf=2023-09-08}}</ref>
</references>

{{SORTIERUNG:Cacert}}
[[Kategorie:Zertifizierungsstelle (Digitale Zertifikate)]]
[[Kategorie:Abkürzung|CACERT]]
[[Kategorie:Transport Layer Security]]
[[Kategorie:Elektronische Signatur]]
[[Kategorie:Online seit 2003]]

CAcert - Versionsgeschichte

imported>Trustable: Kleinigkeiten verbessert