Die Website der Swiss Privacy Foundation ist komplett auch per HTTPS, also verschlüsselt zu erreichen. Wer in seinem Webbrowser bereits das Root-Zertifikat von CAcert importiert hat, kann gleich abhörsicher weitersurfen. Wer dies noch nicht getan hat oder unsicher ist, kriegt hier die nötigen Infos dazu.
Der Webbrowser benötigt vom kontaktierten Server eine Echtheitsbestätigung, damit er prüfen kann, ob auch tatsächlich eine (verschlüsselte) Verbindung mit der Gegenstelle besteht, welche der User ansurfen möchte. Das Server-Zertifikat das hierzu für www.privacyfoundation.ch zum Einsatz kommt, wurde von CAcert signiert.
CAcert ist eine nicht-kommerzielle Zertifizierungsstelle von und für die Community, welche kostenlose X.509-Zertifikate für z. B. Webserver oder auch E-Mail-Verschlüsselung (S/MIME) ausstellt. Anstatt auf eine teure, zentralisierte Identitätsprüfung, wie sie kommerzielle Anbieter praktizieren, setzt CAcert auf ein Web of Trust. Dabei weisen sich die TeilnehmerInnen gegenseitig aus. Je nach Stufe der Vertrauenswürdigkeit einer Person, kann diese kurz- oder langfristige Server-Zertifikate, Client-Zertifikate ohne oder mit Namen - und anderen TeilnehmerInnen mehr oder weniger Vertrauenspunkte - vergeben.
Aktuell noch ein grosser Nachteil ist, dass das Root-Zertifikat von CAcert nicht unter den vertrauenswürdigen CAs von z. B. Internet Explorer oder Firefox zu finden ist, und dadurch beim Verbindungsaufbau eine Warnung erscheint. Nun muss entweder dem/r KommunikationspartnerIn das Vertrauen explizit ausgesprochen werden oder (besser) das Root-Zertifikat manuell in die entsprechende Applikation importiert werden.
Der Import kann mit Klick auf das Root Zertifikat (PEM Format) angestossen werden.
Hier "Trust this CA to identify web sites" auswählen und "View" anklicken.
Der SHA1 Fingerprint muss genau mit dem hier abgebildeten übereinstimmen. Wer ganz sicher gehen will, kann ihn auch noch auf der CAcert-Seite der ETH (per HTTPS und von Cybertrust signiert) prüfen. Dann mit "Close" und "OK" bestätigen.
Und nun geht's hier abhörsicher weiter.
Der Import kann mit Klick auf das Root Zertifikat (PEM Format) angestossen werden. Nun gilt es etwas mehr zu klicken:
Hier zuerst auf "Öffnen".
Und dann auf "Zertifikat installieren...".
Im Zertifikatsimport-Assistent geht es erstmal "Weiter >".
Anschliessend muss als Zertifikatsspeicher "Vertrauenswürdige Stammzertifizierungsstellen" über "Durchsuchen" ausgewählt werden. Dann geht es auch hier "Weiter >".
Den Import bestätigen mit "Fertig stellen".
Der Fingerprint (sha1) muss genau mit dem hier abgebildeten übereinstimmen. Wer ganz sicher gehen will, kann ihn auch noch auf der CAcert-Seite der ETH (per HTTPS und von QuoVadis signiert) prüfen. Dann mit "Ja" bestätigen.
Und nun geht's auch hier abhörsicher weiter.
Obwohl für www.privacyfoundation.ch nicht nötig, ist es eine gute Idee, auch das Zwischenzertifikat zu importieren. Nach einem Klick auf Intermediate Certificate (PEM Format) müssen nochmals die gleichen Schritte durchgeführt werden. Der zu überprüfende Fingerprint ist nun jedoch DB4C4269 073FE9C2 A37D890A 5C1B18C4 184E2A2D resp. für Zertifikate, die ab Mai 2011 ausgestellt wurden AD7C 3F64 FC44 39FE F4E9 0BE8 F47C 6CFA 8AAD FDCE.
Für viele weitere Clients gibt es auf der Website von CAcert Anleitungen.
Und wer CAcert-Punkte möchte, kann sie von Mitgliedern der Swiss Privacy Foundation kriegen. Mittlerweile sind einige voll assured und können somit je 35 Punkte vergeben [1].
