Author Archives: m.maengel

CAcert at FOSDEM 2016, Jan 30th -31st

FOSDEM, the Free and Open Source Software Developers

CAcert will be present at FOSDEM 2016, the Free and Open Source Software Developers’ European Meeting, on January 30th – 31st.


Next language translated to 100%

Special thanks to alaks who made Czech the sixth language which is now available with a 100% translation rate. In addition I want to thank all translators who did a tremendous work over the past years.

To show how far the various languages have been translated here a short statistic overview covering languages with more than 30% of progress

Language Progress
Spanish 100%
German 100%
French 100%
Italian 100%
Dutch 100%
Czech 100%
Portuguese (Brazil) 83%
Swedish 64%
Hungarian 43%
Finnish 37%
Japanese 36%

It would be great if even more people could be helping to translate the software. We are especially looking for Portuguese (Brazil), Swedish, Hungarian, Finnish, Japanese. Of course any help for the other languages that CAcert is offering is appreciated.

If you want to help just create an account on CAcert’s translation server

For more information look at
or join the translation mailing list

Thanks to all who already helped with the translation!

CAcert Community Agreement (CCA) Rollout finished

[German Version below]
A long lasting software project – the CCA rollout – is nearing its end!

With today’s software update the last step for the CCA Rollout was deployed.

From now on every member who wants to use his CAcert account needs to have his CCA acceptance recorded.

The software has already been tracking this for some time which means that most active members will have their acceptance recorded by now. The CCA acceptance is recorded when:
– creating a new account
– entering an assurance for the assurer and the assuree
– creating a new certificate (client, server, GPG)

THE NEWS is that, for all users for whom no acceptance is yet recorded, a redirect to the CCA acceptance page is now forced. Once the CCA acceptance is recorded, this page will not be shown again.

Some historical facts:
The foundation was laid in 2007 by developing the policies and the CCA. The rollout started in 2009 by introducing the CCA to the community. In summer 2009 the acceptance of the CCA was required for creating a new account but it was not recorded.
In 2012 the acceptance of the CCA was required while entering an assurance but it was not recorded.
Starting from September 2013 the acceptance is recorded both on creating an account and while issuing a new certificate.
Since January 2014 the acceptance is recorded when entering an assurance too.
In September 2014 a new CCA was accepted by Policy Group.

[German Version]
Ein lange währendes Software-Projekt – der CCA-Rollout – nähert sich dem Ende!

Mit dem heutigen Software-Update wurde der letzte Schritt des CCA-Rollouts vollzogen.

Ab sofort wird für jedes Mitglied beim Login abgefragt, ob die Zustimmung zur CCA vorliegt. Falls nicht wird diese beim Anmelden erfragt und eingetragen.

Die Software zeichnet schon seit einiger Zeit bei diversen Aktionen die CCA-Zustimmung auf:
– Anlegen eines neuen Benutzerkontos
– Beim Eintragen einer Assurance sowohl für den Assurer und den Assuree
– Beim Erstellen eines neuen Zertifikats (Client, Server, GPG)

Wichtig: ab jetzt muss jeder User, dessen Zustimmung zur CCA noch nicht aufgezeichnet wurde, der CCA einmalig explizit zustimmen. Liegt bereits eine aufgezeichnete Zustimmung zur CCA vor, entfällt die explizite Aufforderung zur Zustimmung.

Einige historische Angaben:
Gestartet wurde das Projekt im Jahr 2007 mit dem Erstellen der Policy-Dokumente und der CCA. Das Rollout wurde 2009 mit der Veröffentlichung der CCA begonnen.
Ab dem Sommer 2009 wurde die Zustimmung zur CCA beim Anlegen eines neuen Kontos verpflichtend. Diese Zustimmung wurde allerdings nicht aufgezeichnet.
Seit 2012 wurde die Zustimmung zur CCA Bestandteil der Assurance. Diese Zustimmung wurde nicht in der Software aufgezeichnet.
Ab September 2013 wurde die Zustimmung zur CCA beim Anlegen eines neuen Kontos und bei der Erzeugung eines Zertifikats aufgezeichnet.
Seit Januar 2014 wird die Zustimmung auch beim Eintragen einer Assurance protokolliert.
Im September 2014 wurde eine neue Version der CCA durch die Policy Gruppe verabschiedet.

Change when adding an assurance

The software team pushed a new patch to production that has an impact on the way how new assurances have to be entered into the system.

Starting today, besides entering the primary email address further information has to be provided in order to gain access to assurance relevant data of the assuree. Additionally the date of birth of the assuree has to be stated by the assurer, before any data of the assuree is displayed for the assurance process.

This change was made for data protection reasons to ensure nobody is able gain access to personal data entrusted to CAcert by mere guessing of email addresses.

It hopefully will also reduce the number of problems with assurances that contain a wrong date of births.

CAcert applies to become “Interested Party” for the CA/Browser forum

CAcert Inc. board decided with the motion m20140706.3 to apply at the CA/Browser forum [1] as “Interested Party”. The CA/Browser forum is responsible for the guidelines how to use X.509 certificates.

The reasons are:

  • get the latest ideas and hints how the the certificate business is developing
  • get the chance to show how CAcert Web of Trust works and that it might be an alternative for the commercial registry authority approach

CAcert nominated Benedikt Heintel as contact person to the CA/Browser forum.


The policy group has started a new vote on “CCA – Update” (CAcert Community Agreement)

CAcert-vote p20140709After a long period of inactivity on the policy side, we are back in
in business again.

In February board nominated a Policy Officer (Eva Stöwe) and this was later
confirmed by a Policy Group vote.

At about the same time an intensive discussion regarding changes to the CCA

There are a lot of changes, some of them being just cleanups or
rephrasing, but there are also some bigger changes.

The central changes are:
– The CCA can be accepted by more ways than currently allowed.
– How CCA may be terminated was greatly rephrased, it now also covers
death of members.
– A clear obligation to answer truthfully before and to help arbitration
was added.

If you want to follow the discussion visit the archive on

The actual version of the proposal is located here:!svn/bc/2568/CAcert/Policies/CAcertCommunityAgreement_20140708.html

Every community member is also invited to participate by joining the
policy group. Just subscribe the mailing list

The state of the voting can be found at

The voting stays open until Sunday 27th of July 2014.

CAcert with high user gain and new server / CAcert mit hohem Benutzeranstieg und neuem Server

[German version below]
The NSA scandal shows: Secure communication on the internet is highly
important for many! CAcert has nowadays a high number of new user
registrations: In 2013 we had about 27.500 new registrations and all year
long a much higher number of new members than in the years before.
Now in the first months of this year, we find even 100 new registrations
approx. per day.
This is the highest count of new members since founding of CAcert and
shows impressively that people desire secure communication and trust
CAcert as an independent certificate authority.
CAcert offers its services for free, because we believe that security must
be available charge-free. To be able to deliver our services quick,
especially the highly demanded ones like wiki, blog and translation system
amongst others, the german server hardware supplier Thomas Krenn has
donated us a new server as part of their open source sponsorship. This
server is now in place and ready to deliver the demands of our users.
[German Version]
Der NSA-Skandal zeigt: Sichere Kommunikation im Internet ist für viele von großer Bedeutung! Das drückt sich auch in den Registrierungen neuer Benutzer bei CAcert aus: Bereits 2013 haben sich mit 27.500 Neuregistrierungen über das Jahr hinweg wesentlich mehr Benutzer registriert, als in den Vorjahren, sind es in den ersten Monaten dieses Jahres sogar im Durchschnitt 100 neue Nutzer täglich bei CAcert!
Das ist der höchste Benutzerzuwachs seit Bestehen von CAcert und zeigt eindrucksvoll, dass die Menschen sichere Kommunikation wünschen und gleichzeitig CAcert, als unabhängigen Zertifikatsanbieter, viel Vertrauen schenken.
CAcert bietet seine Dienstleistung kostenfrei an, denn unser Ansatz ist, dass Sicherheit kostenlos erhältlich sein muss. Um unsere Dienste, insbesondere die nutzungsstarken Systeme Wiki, Blog und das Übersetzungssystem, sowie einige weitere Dienste schnell und gleichzeitig energieeffizient anbieten zu können, hat uns der Serverhersteller Thomas Krenn im Rahmen seiner Open Source Förderung einen geeigneten Server zur Verfügung gestellt. Seit kurzem können die Anwender nun besonders schnell und ressourcenschonend Zertifikate für sichere digitale Kommunikation erstellen und einsetzen.

Sichere E-Mails mit Zertifikaten von CAcert / Secure emails with certificates from CAcert

[English Version below]

Sicherer Mailverkehr ist zurzeit in aller Munde. Mittlerweile stehen mehrere kostenpflichtige Dienste zur Verfügung mit denen Anwender größtenteils pseudo-sichere oder bei einigen Angeboten teilweise auch sichere Mails versenden können.
Tatsächlich sichere E-Mails bedeutet den Einsatz von Ende-zu-Ende-Verschlüsselung, doch auch die kostenpflichtigen Anbieter bieten an dieser Stelle auch keine Hilfestellung für den Benutzer. Wichtig ist, dass die Verschlüsselung im E-Mail-Programm des Anwenders eingerichtet wird.
Übersehen wird dabei oft, dass Sicherheit kostenlos zu haben ist. Und dafür braucht auch kein neues E-Mail-Konto eingerichtet werden: Client-Zertifikate von CAcert integrieren sich nahtlos in alle gängigen E-Mail-Programme unter Windows, Mac und Linux.

[English Version]
Secure sending and receiving of email is currently highly demanded. There are a number of paid services nowadays offering pseudo-secure (which turns finally out to be non-secure) or sometimes even secure mails.
But secure mails actually mean end-to-end-encryption. But even services with costs are not able to support users at this point. Important is, that encryption is set up in the mail program of the user.
It is often overseen, that security is available for free. And it even works with the email provider of your choice: client certificates of CAcert integrate seamlessly into most well-known mail programs under windows, mac and linux.

CAcert enforces rules for signing certificates / CAcert verschärft die Regeln beim Signieren von Zertifikaten

[German version below]

The software team released a patch which forces the user to use a key strength of at least 2048 bit for the certificate. The key strength is given by the CA/Browser forum baseline requirements [1].
During the test prior of the implementation it showed up, that keys using DSA with at least 2048 bit are not processed by the used OpenSSL configuration.
Since there is no easy way to verify the used key parameters for ECDSA are in conformance with the needed security level it has been decided not to support the singing of ECDSA keys until there is a proper solution.
Therefore no keys using DSA or ECDSA will currently be signed.
If a certificate is renewed and an error pointing to the key strength is given you need to create a new certificate with the apropriate key strength and method which is currently only RSA with at least 2048 bit key strength.

Das Software-Team hat einen Patch veröffentlicht, der den Anwender auffordert, bei der Erstellung eines neuen Zertifikats mindestens eine Schlüsselstärke von 2048 Bit zu verwenden. Diese Einschränkung beruht auf den Baseline Requirements des CA/Browser Forum [1].
Während des Testens vor der Auslieferung ist aufgefallen, dass mit der benutzten OpenSSL-Konfiguration DSA-Schlüssel mit einer Schlüsselstärke von mindestens 2048 Bit nicht korrekt signiert werden können.
Da ferner für ECDSA keine einfache Möglichkeit besteht, die verwendeten Schlüsselparameter auf das Sicherheitsniveau hin zu überprüfen, wurde entschieden, bis eine vertretbare Lösung gefunden ist, keine weiteren ECDSA-Schlüssel zu signieren.
Daher können bis auf weiteres keine DSA- und ECDSA-Schlüssel signiert werden.
Falls beim Erneuern eines Zertifikates ein Fehlerhinweis mit dem Thema nicht ausreichende Schlüsselstärke angezeigt wird, muss ein neuer Schlüssel mit der passenden Methode und Schlüsselstärke erzeugt werden. Zur Zeit sind das nur RSA Schlüssel mit mindestens 2048 Bit Schlüsselstärke.


ATE Amberg (DE), 2014-01-06

German Version below

There will be an ATE in Amberg (DE) on 6th January 2014. More details on the wiki.

There are a couple of options to indicate that you are attending:

– Email I will attend ATE-Amberg – Edit the wiki directly

As IanG said: “The ATE or Assurer Training Event is exceptionally recommended for all Assurers, and include parts which contribute directly to our audit. Come and find out how you can also contribute.”

German Version

Am Montag, 6. Januar in den Räumen des ASAMnet e.V. in Amberg, das nächste ATE statt.

• Was hast du auf dem CAP Formular hinzuzufügen, wenn du Minderjährige überprüfst ?

• Warum solltest du dir die 3 Buchstaben: R/L/O einprägen ?

• Wie verhälst du dich, wenn du ein fremdes Ausweisdokument zum erste Mal prüfst ?

Antworten auf diese und andere Fragen erhaltet ihr auf dem Assurer Training Event. Bringt geeignete Lichtbildausweise für Assurances mit.

Ein zusätzlicher Hinweis für ehemalige Tverify/Thawte Leute: Das ATE ist auch eine sehr gute Möglichkeit eure Assurance und Experience Punkte in die Reihe zu bekommen, bevor diese gestrichen werden.

ATE-Amberg findet statt:

  • Montag, 6. Januar 2014
  • ASAMnet e.V.
  • Emailfabrik 1. Stock
  • Emailfabrikstraße 12
  • 92224 Amberg
  • 12:00 bis ca. 16:00 Uhr

Die detaillierte Agenda findet Ihr im Wiki.
Registrierung: Ich möchte am ATE-Amberg teilnehmen

Vielleicht treffen wir uns ja da.

Mit bestem Gruß vom Events Team!