the community page - Blacksec CA

Eine Certificate Authority (CA) oder auch Zertifizierungsstelle gibt Verschlüsselungszertifikate für SSL-Verschlüsselung heraus, den meisten Menschen bekannt als https bei Webseiten, vereinzelt auch bei anderen Diensten wie Email, Jabber oder ähnlichem. Dabei sorgt die SSL-Verschlüsselung nicht nur dafür, dass die Verbindung nicht abgehört werden kann, sondern stellt auch die Identität des Anbieters sicher und verhindert, dass irgendwer den Netzwerkverkehr umleitet und sich als jemand ausgibt, der er gar nicht ist oder sich in einer sogenannten man-in-the-middle-Attacke in die verschlüsselte verbindung einklinkt.
Um die Identität des Servers zu überprüfen gibt es zwei Wege. Der eine ist, dass man die Fingerprints der Serverzertifikate manuell überprüft, was bei jeder Verbindung passieren muss, sonst besteht die Gefahr, dass jemand die Verbindung manipuliert. Das ist natürlich umständlich und in der Praxis wird die Überprüfung schon mal vergessen. Deswgeen haben alle gängigen Webbrowser die Möglichkeit, die Serverzertifikate automatisch zu überprüfen und bei Manipulationen zu warnen. Allerdings müssen die Webbrowser dafür das Stammzertifikat der Zertifizierungsstelle kennen.
Die Webbrowser haben von Haus aus eine lange Liste von Zertifizierungsstellen, die sie kennen, aber leider müssen die Serverbetreiber für die Nutzung der Dienste zahlen und das nicht zu wenig. Je nach Zertifizierungsstelle werden schnell mehrere hundert bis tausende Euro pro Jahr fällig, so dass vor allem unkommerzielle Projekte sich ihre Serverkeys und -zertifikate selbst erstellen und den Usern überlassen, ob sie die Fingerprints kontrollieren oder nicht. Wir wollen deshalb eine Zertifizierungsstelle schaffen, die einerseits dafür sorgt, dass die automatische Überprüfung der SSL-Verbindung bei möglichst vielen Projekten möglich ist und sich die User nur ein Stammzertifikat in ihren Browser importieren müssen.
Anders als andere freie Zertifizierungsstellen wie ca-cert, die lediglich die Identität des Users bzw. Serverbetreibers sicherstellen, wollen wir auch ein Gütesiegel werden, die dem User bescheinigt, dass es bei dem Projekt, welches unsere Zertifikate verwendet, eine zuverlässige Admincrew und Technik gibt. Wir stellen Zertifikate nur an Dienste aus, die Userdaten verschlüsseln und nicht an Dritte weitergeben, Logfiles bzw. andere erhobene Daten nur aus technischen Gründen und so kurz wie möglich speichern.

Download des Stammzertifikats

Server 1      Server 2      Server 3

Aus Sicherheitsgründen sind das Zertifikat und die Fingerprints auf verschiedenen Servern mit anderer Konfiguration und Software abgelegt. Bitte ladet das Zertifikat und die Fingerprints immer von verschiedenen Servern und vergleicht sie sorgfältig!

Eine Anleitung zum Einfügen des Stammzertifikats findet sich hier.

Mozilla Firefox:

   1. Herunterladen des Stammzertifikates
   2. Zertifikat-Manager öffnen ( Einstellungen->Erweitert->Sicherheit->Zertifikate anzeigen)
   3. Tab 'Zertifizierungsstellen' öffnen
   4. Zertifikat importieren ( Import ) und dann die folgende Optionen auswählen: Websites, Software-Entwickler

Apple Safari:

   1. Herunterladen des Stammzertifikates
   2. Zertifikatsdatei doppelklicken - Der Schüsselmanager ( keychain access ) öffnet sich.
   3. Zertifikat nach 'login' importieren

Konqueror ( ab KDE 3.5.x ):

   1. Herunterladen des Stammzertifikates
   2. Die Datei cacert.pem anklicken ( Der Schlüsselmanager öffnet sich automatisch )
   3. Den Anweisungen um das Zertifikat zu importieren folgen

Achtung: Von einer Benutzung des Internet Explorers im Speziellen und Microsoft-Software im Allgemeinen raten wir grundsätzlich ab!

Hinweise zur Sicherheit und Verwaltung der Blacksec CA

Die CA befindet sich auf einem verschlüsselten Rechner, der nicht mit dem Internet verbunden ist und auf dem keine anderen Dienste als die CA laufen. Zugang zu diesem Rechner haben nur einige sehr wenige ausgewählte Personen. Backups dieses Rechners werden ebenfalls verschlüsselt, so dass eine maximale Sicherheit der erstellten Zertifikate und Keys gegeben ist. Wir erstellen Keys und Zertifikate grundsätzlich nur, wenn uns die Betreiber des entsprechendes Dienstes persönlich und als zuverlässig bekannt sind.