We are happy to share with you some statistics for the year 2014.
Shown in the image are the numbers of new CAcert members (newly verified accounts) per year.
It looks like there remains a need for certificates from an open, free and independent CA.
We thus would like to thank our community and all active members, contributors, assurers and supporters, who make this possible. Please keep up this great work!
[German version below]
Since a few days ago CAcert has more new users registered in 2014 than for any of the years before. Currently we are at about 31625 users and counting beating the record established in 2006 with 31542 users for the whole year in just about 11 months. With a rate of about 100 new users every day we have a faster-growing user base than ever. Given this support by our members CAcert is by far not dead – instead it shows the still existing need for a open and free certificate authority operating for their users instead of profit.
[German version]
Seit den letzten Tagen hat CAcert mehr neue Benutzer, die sich 2014 angemeldet haben, als in irgendeinem Jahr zuvor. Mit derzeit 31625 neuen Nutzern wurde der 2006 aufgestellte Rekord mit 31542 neuen Nutzern für das gesamte Jahr bereits nach 11 Monaten eingestellt. Mit täglich ungefähr 100 neuen Usern reißt der Zustrom neuer Mitglieder nicht ab. Entgegen aller Unkenrufe ist CAcert bei weitem nicht aus der Welt; stattdessen zeigt es die Notwendigkeit für eine offene und freie Zertifizierungsstelle, die aus Überzeugung für ihre Nutzer agiert, statt nach Profit zu streben.
[German Version below]
A long lasting software project – the CCA rollout – is nearing its end!
With today’s software update the last step for the CCA Rollout was deployed.
From now on every member who wants to use his CAcert account needs to have his CCA acceptance recorded.
The software has already been tracking this for some time which means that most active members will have their acceptance recorded by now. The CCA acceptance is recorded when:
– creating a new account
– entering an assurance for the assurer and the assuree
– creating a new certificate (client, server, GPG)
THE NEWS is that, for all users for whom no acceptance is yet recorded, a redirect to the CCA acceptance page is now forced. Once the CCA acceptance is recorded, this page will not be shown again.
Some historical facts:
The foundation was laid in 2007 by developing the policies and the CCA. The rollout started in 2009 by introducing the CCA to the community. In summer 2009 the acceptance of the CCA was required for creating a new account but it was not recorded.
In 2012 the acceptance of the CCA was required while entering an assurance but it was not recorded.
Starting from September 2013 the acceptance is recorded both on creating an account and while issuing a new certificate.
Since January 2014 the acceptance is recorded when entering an assurance too.
In September 2014 a new CCA was accepted by Policy Group.
[German Version]
Ein lange währendes Software-Projekt – der CCA-Rollout – nähert sich dem Ende!
Mit dem heutigen Software-Update wurde der letzte Schritt des CCA-Rollouts vollzogen.
Ab sofort wird für jedes Mitglied beim Login abgefragt, ob die Zustimmung zur CCA vorliegt. Falls nicht wird diese beim Anmelden erfragt und eingetragen.
Die Software zeichnet schon seit einiger Zeit bei diversen Aktionen die CCA-Zustimmung auf:
– Anlegen eines neuen Benutzerkontos
– Beim Eintragen einer Assurance sowohl für den Assurer und den Assuree
– Beim Erstellen eines neuen Zertifikats (Client, Server, GPG)
Wichtig: ab jetzt muss jeder User, dessen Zustimmung zur CCA noch nicht aufgezeichnet wurde, der CCA einmalig explizit zustimmen. Liegt bereits eine aufgezeichnete Zustimmung zur CCA vor, entfällt die explizite Aufforderung zur Zustimmung.
Einige historische Angaben:
Gestartet wurde das Projekt im Jahr 2007 mit dem Erstellen der Policy-Dokumente und der CCA. Das Rollout wurde 2009 mit der Veröffentlichung der CCA begonnen.
Ab dem Sommer 2009 wurde die Zustimmung zur CCA beim Anlegen eines neuen Kontos verpflichtend. Diese Zustimmung wurde allerdings nicht aufgezeichnet.
Seit 2012 wurde die Zustimmung zur CCA Bestandteil der Assurance. Diese Zustimmung wurde nicht in der Software aufgezeichnet.
Ab September 2013 wurde die Zustimmung zur CCA beim Anlegen eines neuen Kontos und bei der Erzeugung eines Zertifikats aufgezeichnet.
Seit Januar 2014 wird die Zustimmung auch beim Eintragen einer Assurance protokolliert.
Im September 2014 wurde eine neue Version der CCA durch die Policy Gruppe verabschiedet.
The software team has removed the One Time Password (OTP) login feature. This step became necessary after a number of issues in the code were detected that might aid malicious users to compromise foreign accounts.
Due to the complexity and some necessary structural changes to fix the problems, the feature will not return anytime soon.
CAcert Arbitration is doing some investigations, including how many users were affected by this change or if there were related issues. All affected users will be notified as soon as possible.
Am 21. November bietet die Linux und Unix User Group Ingolstadt mit den Bürgernetzvereinen ASAMnet und bingo in Ingolstadt eine Informationsveranstaltung mit Workshop an:
Safer Mail! Sichere E-Mail-Verschlüsselung mit S/MIME
Neben einer Einführung ins Thema werden die Grundlagen erklärt. Der Workshop gibt anschließend praktische Hilfe beim Einrichten der jeweiligen E-Mail-Programme für Verschlüsselung und Signatur. Am Ende der Veranstaltung soll jeder Teilnehmer in der Lage sein, auf dem eigenen Notebook sicher per E-Mail kommunizieren zu können.
Die Veranstaltung und der Workshop richten sich an Anwender aller Betriebssysteme. Spezifische Vorkenntnisse sind nicht notwendig.
Weitere Informationen unter www.lug-in.de/safer-mail.
English version:
Continue reading
CAcert intends to disable SSL3 and 3DES support for its main website www.cacert.org by December 1, 2014.
The main CAcert website is currently still supporting the SSL3 protocol for secure connections. However, in https://www.openssl.org/~bodo/ssl-poodle.pdf it is shown that SSL3 is susceptible to certain cryptograhical attacks. While www.cacert.org does support the recommended TLS_FALLBACK_SCSV option to protect clients with that same protocol option against unintended downgrades to SSL3, this still leaves plain old SSL3 clients vulnerable for the new attack.
Similarly, www.cacert.org is currently still supporting the 3DES cipher suite for encyrpting secure connections. However, this provides only 112 bits of security, which is below the currently recommended number of 128. Hence we should disable it to protect CAcert’s clients.
In practice, the only client known to negotiate SSL3 with www.cacert.org is Internet Explorer 6.0 as found in Windows XP. Thus disabling SSL3 will block https access for these clients only. Similarly, 3DES will only be negotiated by IE 6 and IE 8 running on Windows XP. Since Windows XP is no longer supported by its vendor, and the widely circulated advice to all its users is to switch to a more recent operating system (or switch at least to a more current browser), announcing termination of support for SSL3 and 3DES by CAcert on December 1, 2014 does not seem unreasonable, and is fully in line with our mission to support the security of its users.
If you want to discuss this issue further, please use the bug tracker created for this issue (https://bugs.cacert.org/view.php?id=1314).
The 28th Large Installation System Administration conference (aka. Lisa 2014) will be meeting November 9-14 in Seattle, WA, USA. We have held a CAcert Birds-of-a-Feather (BoF) session at several previous LISA events. The CAcert Assurance BoF at LISA 14 will be Tuesday evening November 11th. This session is open to the public. Full details are posted on the event page on the CACert Wiki:
http://wiki.cacert.org/Events/2014-11-11-LISA14
We will start with a presentation to introduce CAcert to newcomers. We will also discuss recent changes to the CCA (CACert Community Agreement), the TTP Assurance Program and other changes.. We will have several assurers there to do initial assurances. Mutual assurances are encouraged for getting practice and for answering questions. And there is the added benefit of earning experience points.
If you are in town for the conference or you live in the area, please join us to learn more about free digitial certificates available through CAcert.org.
Der Hamburger Open-Source-Day 2014 ist in Hamburg im Zeitraum 10:00 Uhr – 14:00 Uhr geöffnet. Details sind unter [3] zu finden.
Dieser Assurance-Point ist interessant für alle die ihren Status innerhalb der CAcert-Communitiy verbessern wollen. Dabei ist jeder, ob CAcert Assurer, CAcert Assuree/Member, CAcert Interessierte, Einsteiger oder Unentschlossener herzlich willkommen. Es gibt die Möglichkeit für Assurees/Members Assurance-Punkte zu erwerben, für Assurer sich Erfahrungspunkte zu verdienen und sich über die CAcert Community zu informieren. Um einen reibungslosen Ablauf der Identitätsüberprüfung zu ermöglichen, wird darum gebeten neben hinreichenden amtlichen Lichtbildausweisen auch genügend ausgedruckte CAP-Formulare, für sich selber und andere, mitzubringen.
Es wird empfohlen, sich vor der Veranstaltung schon bei CAcert [1] zu registrieren, da so der Prozess vor Ort beschleunigt werden kann.
Die Einsicht in die Policies ist unter [2] möglich.
[1] http://www.cacert.org/
[2] http://www.cacert.org/policy/
[3] Open Source Day 2014
For the English version see below.
Auch in diesem Jahr wird CAcert wieder auf der FrOSCon am 23. und 24. August in St. Augustin mit einem Stand vertreten sein.
Sprecht uns auf dem Stand an, um zu erfahren, welche Aktivitäten zur Zeit bei CAcert durchgeführt und geplant sind. Mehr unter wiki.cacert.org/Events/FrOSCon2014
English
CAcert will be present again with a booth on the FrOSCon in St. Augustin 23th/24th August.
Feel free to come along and ask us what CAcert is doing at the moment and what are the plans for the near future. More see wiki.cacert.org/Events/FrOSCon2014
The software team pushed a new patch to production that has an impact on the way how new assurances have to be entered into the system.
Starting today, besides entering the primary email address further information has to be provided in order to gain access to assurance relevant data of the assuree. Additionally the date of birth of the assuree has to be stated by the assurer, before any data of the assuree is displayed for the assurance process.
This change was made for data protection reasons to ensure nobody is able gain access to personal data entrusted to CAcert by mere guessing of email addresses.
It hopefully will also reduce the number of problems with assurances that contain a wrong date of births.