Creating client certificates with CSR now possible for Org Accounts

A fix for a long standing issue has recently been installed at the CAcert main server: Now finally it’s possible to create a client certificate from a Certificate Signing Request (CSR) in the user interface for Organisation (Org) Accounts.

For those who don’t have an idea what I am talking about, an Org Account is a user interface for administrators of companies and other organisations who got themselves assured with a CAcert Org Assurance.

Until recently, client certificates in an Org Account could only be created by using the browser feature to create a key pair and signing request in one go. This usually has the consequence that the administrator has access to the private key of the certificate, and has to send the private key and a password (hopefully secure) to the user the certificate is intended for.

While this is not that unusual in an organisation environment, it is not considered a clean solution.

The new feature to create a certificate from a CSR now allows much better solutions. Not only that the administrator does not need access to the end user’s private key at all, it’s now possible to create solutions where an organisation end user can create her own keys and CSR at the organisation’s website, while the administrator only confirms the validity of the request, gets the certificate from CAcert and posts it on a website for the user to download into her browser.

Especially in company settings CAcert certificates can productively used even though the root certificate is not included in browsers by default. Many companies use private CAs, for example to issue certificates which allow employees to securely log on to web applications. Now it’s possible to outsource the CA management to CAcert and just use an Org Account to issue certificates.

In my opinion CSR certificate creation is an important step to make CAcert certificates much more practical to use in company settings! Thanks to everyone involved in implementing this feature!

All-time record on new users per year

[German version below]

Since a few days ago CAcert has more new users registered in 2014 than for any of the years before. Currently we are at about 31625 users and counting beating the record established in 2006 with 31542 users for the whole year in just about 11 months. With a rate of about 100 new users every day we have a faster-growing user base than ever. Given this support by our members CAcert is by far not dead – instead it shows the still existing need for a open and free certificate authority operating for their users instead of profit.

 

[German version]

Seit den letzten Tagen hat CAcert mehr neue Benutzer, die sich 2014 angemeldet haben, als in irgendeinem Jahr zuvor. Mit derzeit 31625 neuen Nutzern wurde der 2006 aufgestellte Rekord mit 31542 neuen Nutzern für das gesamte Jahr bereits nach 11 Monaten eingestellt. Mit täglich ungefähr 100 neuen Usern reißt der Zustrom neuer Mitglieder nicht ab. Entgegen aller Unkenrufe ist CAcert bei weitem nicht aus der Welt; stattdessen zeigt es die Notwendigkeit für eine offene und freie Zertifizierungsstelle, die aus Überzeugung für ihre Nutzer agiert, statt nach Profit zu streben.

CAcert Community Agreement (CCA) Rollout finished

[German Version below]
A long lasting software project – the CCA rollout – is nearing its end!

With today’s software update the last step for the CCA Rollout was deployed.

From now on every member who wants to use his CAcert account needs to have his CCA acceptance recorded.

The software has already been tracking this for some time which means that most active members will have their acceptance recorded by now. The CCA acceptance is recorded when:
– creating a new account
– entering an assurance for the assurer and the assuree
– creating a new certificate (client, server, GPG)

THE NEWS is that, for all users for whom no acceptance is yet recorded, a redirect to the CCA acceptance page is now forced. Once the CCA acceptance is recorded, this page will not be shown again.

Some historical facts:
The foundation was laid in 2007 by developing the policies and the CCA. The rollout started in 2009 by introducing the CCA to the community. In summer 2009 the acceptance of the CCA was required for creating a new account but it was not recorded.
In 2012 the acceptance of the CCA was required while entering an assurance but it was not recorded.
Starting from September 2013 the acceptance is recorded both on creating an account and while issuing a new certificate.
Since January 2014 the acceptance is recorded when entering an assurance too.
In September 2014 a new CCA was accepted by Policy Group.

[German Version]
Ein lange währendes Software-Projekt – der CCA-Rollout – nähert sich dem Ende!

Mit dem heutigen Software-Update wurde der letzte Schritt des CCA-Rollouts vollzogen.

Ab sofort wird für jedes Mitglied beim Login abgefragt, ob die Zustimmung zur CCA vorliegt. Falls nicht wird diese beim Anmelden erfragt und eingetragen.

Die Software zeichnet schon seit einiger Zeit bei diversen Aktionen die CCA-Zustimmung auf:
– Anlegen eines neuen Benutzerkontos
– Beim Eintragen einer Assurance sowohl für den Assurer und den Assuree
– Beim Erstellen eines neuen Zertifikats (Client, Server, GPG)

Wichtig: ab jetzt muss jeder User, dessen Zustimmung zur CCA noch nicht aufgezeichnet wurde, der CCA einmalig explizit zustimmen. Liegt bereits eine aufgezeichnete Zustimmung zur CCA vor, entfällt die explizite Aufforderung zur Zustimmung.

Einige historische Angaben:
Gestartet wurde das Projekt im Jahr 2007 mit dem Erstellen der Policy-Dokumente und der CCA. Das Rollout wurde 2009 mit der Veröffentlichung der CCA begonnen.
Ab dem Sommer 2009 wurde die Zustimmung zur CCA beim Anlegen eines neuen Kontos verpflichtend. Diese Zustimmung wurde allerdings nicht aufgezeichnet.
Seit 2012 wurde die Zustimmung zur CCA Bestandteil der Assurance. Diese Zustimmung wurde nicht in der Software aufgezeichnet.
Ab September 2013 wurde die Zustimmung zur CCA beim Anlegen eines neuen Kontos und bei der Erzeugung eines Zertifikats aufgezeichnet.
Seit Januar 2014 wird die Zustimmung auch beim Eintragen einer Assurance protokolliert.
Im September 2014 wurde eine neue Version der CCA durch die Policy Gruppe verabschiedet.

Safer Mail! – Ingolstadt, DE

Am 21. November bietet die Linux und Unix User Group Ingolstadt mit den Bürgernetzvereinen ASAMnet und bingo in Ingolstadt eine Informationsveranstaltung mit Workshop an:

Safer Mail! Sichere E-Mail-Verschlüsselung mit S/MIME

Neben einer Einführung ins Thema werden die Grundlagen erklärt. Der Workshop gibt anschließend praktische Hilfe beim Einrichten der jeweiligen E-Mail-Programme für Verschlüsselung und Signatur. Am Ende der Veranstaltung soll jeder Teilnehmer in der Lage sein, auf dem eigenen Notebook sicher per E-Mail kommunizieren zu können.

Die Veranstaltung und der Workshop richten sich an Anwender aller Betriebssysteme. Spezifische Vorkenntnisse sind nicht notwendig.

Weitere Informationen unter www.lug-in.de.

English version:
Continue reading

CAcert @ OpenRheinRuhr 2014, Oberhausen, DE

Am 8. und 9. November findet die OpenRheinRuhr im Rheinischen Industriemuseum direkt am Hauptbahnhof in Oberhausen statt. Eine Spitzenlocation für eine Veranstaltung über freie Software, bei der CAcert nicht fehlen darf.

Jeder Interessierte kann sich am Stand von CAcert über kostenfreien Zertifikate, darunter SSL-Serverzertifikate und Client-Zertifikate für sichere E-Mail-Kommunikation informieren. Fragen zur Benutzung und zum Einsatz der Zertifikate werden ebenfalls beantwortet.

English version

On November, 8th and 9th, the OpenRheinRuhr will take place at Rheinisches Industriemuseum directly located at Oberhausen central station. The Industriemuseum is an amazing location for an event about free and open source software. Of course, CAcert presents itself on this event.

Who wants to get informed about free certificates, e.g. SSL-Server certificates, or client certificates for secure e-mail communication is invited to meet CAcert members for discussion on CAcerts’ OpenRheinRuhr booth. Questions about the use of certificates and necessary know-how will be answered.

ATE Wien, 2014-11-19

Wien Hofburg

Wien Hofburg

Am Mittwoch, 19. November 2014 findet in den Räumen des Metalab in Wien das nächste ATE in Österreich statt.

  • Was hast du auf dem CAP Formular hinzuzufügen, wenn du Minderjährige überprüfst ?
  • Warum solltest du dir die 3 Buchstaben: R/L/O einprägen ?
  • Wie verhälst du dich, wenn du ein fremdes Ausweis Dokument zum ersten mal prüfst ?

Antworten auf diese und andere Fragen erhaltet ihr auf dem Assurer Training Event.
Bringt geeignete Lichtbildausweise für Assurances mit.

ATE-Wien findet statt:

Metalab Wien
Starts: 2014-11-19 19:00
Duration: 3 hours:
Rathausgasse 6
Wien, Wien
1010
AT

Registrierung: Ich moechte am ATE-Wien teilnehmen

Vielleicht treffen wir uns ja da.

Mit bestem Gruß vom Events Team!

Weitere Infos:
ATE Wien im CAcert Wiki

ATE Graz, 2014-11-13

Picture of Graz

Picture of Graz

Am Donnerstag, 13. November 2014 findet im realraum in Graz das nächste ATE in Österreich statt.

  • Was hast du auf dem CAP Formular hinzuzufügen, wenn du Minderjährige überprüfst ?
  • Warum solltest du dir die 3 Buchstaben: R/L/O einprägen ?
  • Wie verhälst du dich, wenn du ein fremdes Ausweis Dokument zum ersten mal prüfst ?


Antworten auf diese und andere Fragen erhaltet ihr auf dem Assurer Training Event.
Bringt geeignete Lichtbildausweise für Assurances mit.

findet statt:

realraum Graz
Starts: 2014-11-13 19:00
Duration: 3 hours:
Brockmanngasse 15
Graz, Steiermark
8010
AT

Registrierung: Ich moechte am ATE-Graz teilnehmen

Vielleicht treffen wir uns ja da.

Mit bestem Gruß vom Events Team!

Weitere Infos:
ATE Graz im CAcert Wiki

Disabling SSL3 and 3DES support to improve security for CAcert’s users

CAcert intends to disable SSL3 and 3DES support for its main website www.cacert.org by December 1, 2014.

The main CAcert website is currently still supporting the SSL3 protocol for secure connections. However, in https://www.openssl.org/~bodo/ssl-poodle.pdf  it is shown that SSL3 is susceptible to certain cryptograhical attacks. While www.cacert.org does support the recommended TLS_FALLBACK_SCSV option to protect clients with that same protocol option against unintended downgrades to SSL3, this still leaves plain old SSL3 clients vulnerable for the new attack.

Similarly, www.cacert.org is currently still supporting the 3DES cipher suite for encyrpting secure connections. However, this provides only 112 bits of security, which is below the currently recommended number of 128. Hence we should disable it to protect CAcert’s clients.

In practice, the only client known to negotiate SSL3 with www.cacert.org is Internet Explorer 6.0 as found in Windows XP. Thus disabling SSL3 will block https access for these clients only. Similarly, 3DES will only be negotiated by IE 6 and IE 8 running on Windows XP. Since Windows XP is no longer supported by its vendor, and the widely circulated advice to all its users is to switch to a more recent operating system (or switch at least to a more current browser), announcing termination of support for SSL3 and 3DES by CAcert on December 1, 2014 does not seem unreasonable, and is fully in line with our mission to support the security of its users.

If you want to discuss this issue further, please use the bug tracker created for this issue (https://bugs.cacert.org/view.php?id=1314).

CAcert Assurances at the LISA Conference in Seattle, WA, USA, 11 November 2014

The 28th Large Installation System Administration conference (aka. Lisa 2014) will be meeting November 9-14 in Seattle, WA, USA. We have held a CAcert Birds-of-a-Feather (BoF) session at several previous LISA events. The CAcert Assurance BoF at LISA 14 will be Tuesday evening November 11th. This session is open to the public. Full details are posted on the event page on the CACert Wiki:

http://wiki.cacert.org/Events/2014-11-11-LISA14

We will start with a presentation to introduce CAcert to newcomers. We will also discuss recent changes to the CCA (CACert Community Agreement), the TTP Assurance Program and other changes.. We will have several assurers there to do initial assurances. Mutual assurances are encouraged for getting practice and for answering questions. And there is the added benefit of earning experience points.

If you are in town for the conference or you live in the area, please join us to learn more about free digitial certificates available through CAcert.org.