Category Archives: News

News Relating to CAcert

NCCIC notices DNS Hijacking Campaign

As described in https://www.us-cert.gov/ncas/alerts/AA19-024A the US Cybersecurity Agency warns about hackers trying to hijack DNS servers, and manipulating them to obtain SSL certificates for the hijacked domains.

This is a serious problem, since the vast majority of certificates, including CAcert’s “Class 1” certificates for non-assured members, are issued on “proof of DNS control” only.
“Extended Validation” certificates, which assure the real person or organisation controlling the domain, are not affected by this threat. But they are usually extremly expensive when requested from a commercial CA.

CAcert’s “Class 3” certificates for assured members, as well as CAcert’s Organisation Assurance are a (mostly) free alternative for those certificates, with an overall security level which is at least compareable, if not better!

Know whom to trust! Ask us on cacert@lists.cacert.org if you want to know more details!

Liebe Frau Merkel

Liebe Frau Merkel, liebe CDU, liebe SPD, liebe gehackten deutschen Politiker

Wie konnte das nur passieren mit diesem Datenklau im Dezember? Da hatten Sie doch die besten Services und die teuerste Software – und nun das! Das ist ärgerlich, in der Tat. Dabei müssen wir uns zwei Dinge bewusst sein:

  • Erstens: Weil eine Mehrheit der Wähler Ihnen das Vertrauen geschenkt hat, heißt das nicht zwingend, dass Sie in IT-Fragen den besseren Durchblick haben, als die Mehrheit der Wähler. Nur, wenn Herr Kreti oder Frau Pleti gehackt werden, interessiert das niemanden einen alten Hut, bei Ihnen kommt es groß in den Nachrichten und ist womöglich von strategischer Bedeutung.
  • Zweitens: Die großen Anbieter sind amerikanische Großfirmen, wie Microsoft, welche von ihrer Regierung verpflichtet sind, denen eine Hintertür offen zu lassen. Hintertüren sind jedoch immer Schwachstellen.

Die Alternative ist quelloffene Software. Fairerweise nicht einfach irgendwo heruntergeladen und gratis genutzt, sondern sowohl finanziell, als auch in der Weiterentwicklung unterstützt. Spielen wir einmal mit den Gedanken und stellen alle IT-Spezialisten des Bundes und der Länder einen haben Tag pro Woche frei, um an einem spezifischen Projekt mitzuentwickeln. Das können Standardanwendungen sein wie LibreOffice (statt Microsoft Office) oder dienstspezifische Spezialsoftware. Wer der Einfachheit halber – wie Ihre Kollegen in Bern – seine Verwaltung mit Skype telefonieren lässt, kann gerade so gut jedes e-Mail per CC an Donald Trump senden lassen.

Sie haben Recht, wenn Sie einwenden, dass quelloffene Software nicht per se sicherer ist, als kommerzielle Angebote; aber da die Quellen offen liegen, ist die Wahrscheinlichkeit wesentlich höher, dass Mängel entdeckt werden – vor allem auch, wenn Ihre besten Spezialisten regelmäßig danach suchen und wie oben skizziert Zeit haben, mit anderen Spezialisten sie dann umgehend zu beheben. Da sparen Sie nicht viel Geld, bekommen jedoch einen wesentlich höheren Mehrwert für die eingesetzten Steuergelder.

In einigen Schweizer Kantonen sind Clouddienste für Schulen aus Sicherheitsgründen verboten. Auch wenn wir keine Freund von Verboten sind, ist der Ansatz insofern bedenkenswert, den Mehrwert der ständigen Erreichbarkeit gegen die Sicherheit aufzuwiegen. Die Antwort wird ebenso unbequem sein, wie bei den Passwörtern: je einfacher, desto unsicherer (oder umgekehrt: Sicherheit kann man nicht aus dem Ärmel schütteln).

Freundliche Grüße vom anderen Ende des Erdballs

PS. Wenn Sie uns im Rahmen Ihrer Opensourcestrategie für eine gewisse Zeit einen Auditor und einen Programmierer abdetachieren, wird Ihre Regierung schon bald über die sichersten Zertifikate verfügen.

—-

Unterstützen Sie unsere Freiwilligen, indem Sie sich an den laufenden Kosten unseres Rechenzentrums in den Niederlanden beteiligen. Mehr Sicherheit, weniger Phishing dank digitaler Signatur mit kostenlosem X.509-Zertifikat.

Spenden Sie die Kosten für einen knappen 1 Tag (5€)      Spenden Sie einen freien Betrag          Spenden Sie die Betriebskosten des Rechenzentrums für 1 Woche (50€)                             IBAN DE50 2019 0003 0008 5478 07 “CAcert”

Security is not everything, but without security everything is nothing

According to estimates, around six million people of the eight million inhabitants in Switzerland use the Whatsapp news service in their private lives. In Germany and Austria, the figures will probably be similarly high. This type of communication is so self-evident that more and more companies want to communicate with their employees and customers with Whatsapp: Picture messages of a place to be repaired, details of a booked flight or even direct advertising.

The well-known news service explicitly allows operational use and offers a business version for SMEs and an interface (API) for large companies. The list of advantages is long: uncomplicated, direct, shorter decision paths, cost-effective customer service, etc. – what more do you want? Since 2017, however, more and more companies have prohibited their employees from using Whatsapp, as the basic EU data protection regulation stipulates that personal data may neither be collected nor processed without the consent of the person concerned. No company wants to afford the imminent fines of several million euros.

The problem lies in the way the messsanger service operates. It regularly reads the address books of its users in order to compare them with its database. In this way he can display contacts that are new to the service. They have never given their consent. This is therefore a violation of the general data protection regulation, which also applies to companies that have only one contact in the EU. If it is either a service telephone or a private one on which business contacts are stored with the consent of the company, the company is liable. If the employees use their own device in the company, no synchronization with the data processing systems may take place. Thus, the employee processes personal data without the employer’s permission and is then liable for possible violations of the law.

If the intelligence service is to be used in compliance with data protection regulations, there must be two separate address books, one internal, with only those persons who have given their consent to the transfer of their personal data to Whatsapp. Another possibility is the use of a GDPR-compliant messenger in the company. The disadvantage of this solution, however, is that such messengers have not yet become widespread and can therefore hardly be used in contact with customers.

And the solution? It corresponds to squaring the circle and is about as simple as the browser integration of CAcert in the next 12 months. Nevertheless, it is worthwhile, especially in the year 2019, to deal with how one deals with personal data in one’s company. The first companies to find practicable and easily implementable solutions can gain a competitive advantage, because “Security is not everything, but without security everything is nothing”. (Schopenhauer)

The sending of encrypted and signed e-mails is in compliance with the general data protection regulation. With the Organisation Assurance Programme, CAcert offers companies a simple and practical solution. The systematic sending of digitally signed e-mails offers customers the opportunity to clearly distinguish messages from spam and phishing. The encryption of internal e-mails increases security and is technically easy to implement, as the IT department rolls out the corresponding certificates.

Source: NZZ, 31.12.2018

Donate the running costs of allmost one day (5€)     Donate as much as you want                     Donate the running costs of one week (50€)                                                                                    IBAN DE50 2019 0003 0008 5478 07 “CAcert”

New CAcert for New Year

English | Deutsch | Français | Português

Don’t miss new functions, new possibilities and the new forward strategy of CAcert in 2019. In 2018 we started again support, software team and arbitration. Now, board and active members of the community are hard workng on the next steps. Support our volunteers by contributing to the running costs of our data centre in the Netherlands. More security, less phishing thanks to digital signature with free X.509 certificate.

Donate the costs of allmost one day (5€)                 Donate as much as you want                     Donate the running costs of one week (50€)                                                                                    IBAN DE50 2019 0003 0008 5478 07 “CAcert”

Verpassen Sie nicht neue Funktionen, neue Möglichkeiten und die neue Vorwärtsstrategie von CAcert im Jahr 2019. Im Jahr 2018 haben wir Support, Software-Team und Arbitration wieder aufgebaut. Jetzt arbeiten Vorstand und aktive Mitglieder der Gemeinschaft hart an den nächsten Schritten. Unterstützen Sie unsere Freiwilligen, indem Sie sich an den laufenden Kosten unseres Rechenzentrums in den Niederlanden beteiligen. Mehr Sicherheit, weniger Phishing dank digitaler Signatur mit kostenlosem X.509-Zertifikat.

Spenden Sie die Kosten für einen knappen 1 Tag (5€)      Spenden Sie einen freien Betrag          Spenden Sie die Betriebskosten des Rechenzentrums für 1 Woche (50€)                             IBAN DE50 2019 0003 0008 5478 07 “CAcert”

Ne manquez pas les nouvelles fonctions, les nouvelles possibilités et la nouvelle stratégie d’avenir de CAcert en 2019. En 2018, nous avons recommencé le support, l’équipe logicielle et l’arbitrage. Aujourd’hui, le comité et les membres actifs de la communauté travaillent d’arrache-pied aux prochaines étapes. Soutenez nos bénévoles en contribuant aux frais de fonctionnement de notre centre de données aux Pays-Bas. Plus de sécurité, moins de phishing grâce à la signature numérique avec certificat X.509 gratuit.

Offrez-nous les coûts opérationnels d’une petite journée (5€)                                               Donnez un montant à votre volonté   Offrez-nous les coûts opérationnels de 1 semaine  (50€) IBAN DE50 2019 0003 0008 5478 07 “CAcert”

Não perca novas funções, novas possibilidades e a nova estratégia de avanço do CAcert em 2019. Em 2018 iniciamos novamente o suporte, a equipe de software e a arbitragem. Agora, a diretoria e membros ativos da comunidade estão trabalhando arduamente nos próximos passos. Apoie os nossos voluntários contribuindo para os custos de funcionamento do nosso centro de dados na Holanda. Mais segurança, menos phishing graças à assinatura digital com certificado X.509 gratuito.

 

Passez bientôt le test des accréditeurs en français

Français ¦ Deutsch ¦ English

CAcert ParisCAcert va de l’avant! Vous avez au moins 100 points de confiance et vous auriez aimé devenir un accréditeur depuis longtemps? Malheureusement, votre anglais n’est pas si bon que ça, vous aimeriez passer le test d’accréditeur (CATS) en français? Réjouissez-vous avec nous: des volontaires de Belgique, de Suisse et de France ont localisé le système de test et il est maintenant disponible en français.

Maintenant, ils travaillent d’arrache-pied pour traduire également les questions du test. Nous sommes confiants que le CATS francophone sera disponible au début de 2019 ou au printemps. Motivez nos bénévoles avec un don généreux pour couvrir les frais de fonctionnement des serveurs.

Possibilités
Virement bancaire en Euro:
secure-u e.V. Banque: Hamburger Volksbank e.G. / IBAN: DE50 2019 0003 0003 0008 5478 07 BIC: GENODEF1HH2 (“pour CAcert”) (l’association secure-u est notre partenaire local en Union Européenne)
Virement bancaire en Australie en AU$:
Compte bancaire Westpac pour AU$: Nom du compte : CAcert Inc. / SWIFT : WPACAU2S /      N° de compte : 180264
Paypal:
Soutenez CAcert avec 50$ maintenant avec Paypal
ou faites un don Paypal unique du montant que vous désirez pour nous aider.

DEUTSCH: CAcert-Assurer-Test (CATS) bald auf Französisch

Bei CAcert geht es vorwärts! Während wir Deutschsprachigen den CATS schon seit Jahren auf Deutsch ablegen können, stehen unsere westlichen Nachbarn immer noch vor einer hohen Sprachbarriere. Sie haben mindestens 100 Vertrauenspunkte und wären schon lange gerne Assurer geworden. Leider sind Ihre Englischkenntnisse nicht so gut; sie möchten die Assurer-Prüfung gerne in der Sprache Molières ablegen. Das wird schon bald möglich sein: Freiwillige aus Belgien, der Schweiz und Frankreich haben das Testsystem lokalisiert und es steht ab sofort auch auf Französisch zur Verfügung.

Nun arbeiten sie mit Hochdruck daran, auch die Testfragen zu übersetzen. Wir sind zuversichtlich, dass die französischsprachige Assurer-Prüfung Anfangs 2019 oder im Frühling zur Verfügung steht. Motivieren Sie unsere Freiwilligen mit einer grosszügigen Spende zur Deckung der Betriebskosten der Server.

ENGLISH: CAcert-Assurer-Test (CATS) will be available also in French

CAcert at ParisCAcert is moving forward! We have a lot of members in Belgium, France and Western Switzerland. They have at least 100 assurance points and would have liked to become an Assurer a long time ago. Unfortunately, their English is not so good; they would like to take the Assurer exam in Molière’s language. There are good news: volunteers from Belgium, Switzerland and France have localised the test system and it is now available in French.

Now they are working hard to translate the test questions as well. We are confident that the French CATS will be available in early 2019 or spring. Motivate our volunteers with a generous donation to cover the running costs of the servers.

 

Kryptographie-Adventskalender für Kinder und Jugendliche

Hilfe: Die Spione wollen die Weihnachtsgeschenke klauen! Als weltweit grösster Anbieter freier Zertifikate unterstützt CAcert den Kryptographie-Adventskalender für Kinder und Jugendliche Krypto im Advent.

Mit Hilfe Ihrer Kinder, Enkel, Neffen und Nichten versuchen die beiden Agenten Krypto und Kryptina die Spione abzuwehren. Dabei setzen sie das gesamte Arsenal an Ent- und Verschlüsselungsmethoden ein, die zur Verfügung stehen. Ihre Kinder basteln die nötigen Materialien und entschlüsseln die Geheimbotschaften, um die Spione zu entlarven. Je nach Alter (bis 6. Schuljahr oder ab 6. Schuljahr) ist der Schwierigkeitsgrad unterschiedlich. Die beiden erfahrenen Agenten Krypto und Kryptina unterstützen ihre Helfer mit einer täglichen Videobotschaft.

Einschreiben ab sofort unter http://www.krypto-im-advent.de Der Adventskalender ist eine Initiative der Pädagogischen Hochschule Karlsruhe. Sämtliche Daten werden im neuen Jahr wieder gelöscht.

Welcome to Sydney

We wish a warm welcome to all our members to Sydney, New South Wales to our Annual General Meeting. It will be on Sat, 20 Oct 2018 07:00 @Sydney. For booking your journey, please consider our partner, booking.com

You can attend the Meeting from around the globe on IRC. Please, save the date: Fri, 19 Oct 2018, 20:00 UTC / 22:00 @Geneva / 16:00 @New York. If you are a member of the community, but not yet of the association, why not become a member now?

Bienvenue à Sydney, Nouvelle Galles de Sud pour l’Assemblé générale 2018 le vendredi 19 octobre 2018 à 22:00 heures de Paris. Pour vos déplacements, veuillez voyager avec notre partenaire booking.com Si vous êtes un membre de la communauté, mais mas encore de l’association, cela sera l’occasion de le devenir jusqu’en octobre!

Willkommen in Sydney zur diesjährigen Generalversammlung. Sie findet am Freitag, 19. Oktober um 22:00 Schweizer/Deutsche/Liechtensteinische/Österreichische/Südtiroler Zeit statt. Sie sie Mitglied der CAcert-Gemeinschaft, aber noch nicht des Trägervereins? Dann werden Sie es jetzt! (Auch wenn Sie in den IRC-Kanal kommen, um nicht ans andere Ende der Welt zu fliegen, gibt es immer wieder Gelegenheiten, eine Reise bei unserem Partner booking.com zu buchen.)

Efail: How you can still trust in GPG/PGP encryption

Use a safe e-mail client

The EFAIL attacks exploit vulnerabilities in the OpenPGP and S/MIME standards to reveal the plaintext of encrypted emails. In a nutshell, EFAIL abuses active content of HTML emails, for example externally loaded images or styles, to exfiltrate plaintext through requested URLs.

However, according to the German Federal Office for Information Security, the e-mail encryption standards mentioned can be used securely if they are correctly implemented and configured.

There should be no problem, if you and your e-Mail partner use one of the green marked e-mail clients. Even if your client has a red flag, it can be sure; you may do some further research (f.eg. Mailpile). But, do you know the software, others are using? The incident once again demonstrates the importance of trust in communication. Further reading about CAcert’s Web of Trust.

The published vulnerabilities show in particular that, in addition to careful handling of the private key to be kept secret, the security of the e-mail programs used and their configuration can also be decisive.

  • Basically, do not display or generate e-mails in HTML format.
  • In particular, the execution of active content, i.e. display of e-mails in HTML format and reloading of external content, should be switched off.
  • If an e-mail provider offers the possibility to do this via the settings of its webmail application, appropriate measures should also be implemented here.
  • Some vendors will publish patches that either fix the EFAIL vulnerabilities or make them much harder to exploit. So, update your e-mail client and the encryption extension.

For sensitive information that must be sent by e-mail, the following procedure can be used: Decrypt S/MIME or PGP emails in a separate application outside of your email client. Decrypt incoming encrypted emails by copy&pasting the ciphertext into a separate application that does the decryption for you. That way, the email clients cannot open exfiltration channels. This is currently the safest option with the downside that the process gets more involved.

Webmail seams not to be under attack, neither Mailvelope or PEP. All of them are not affected. So, the conclusion should not be to uninstall encryption, but to review your e-mail client, update it and adjust the properties.

CAcert.org is a community-driven Certificate Authority that issues certificates to the public at large for free. These certificates can be used to digitally sign and encrypt email, authenticate and authorize users connecting to websites and secure data transmission over the internet. CAcert has more than 358 000 users, is operated by volunteers and financed by donations.

Further reading:
OpenPGP is safer than S/MIME (by GnuPG)

New committee constituted

CAcert Inc.’s Annual General Meeting was held shortly before Christmas. Most of the members of the committee have made themselves available for another year. Two members, who also perform other tasks within the CAcert-community, will focus on this in the future.

On January 12th (January 13th, local time in New South Wales) the committee was constituted. However, he has already started work before. As mentioned at the Annual General Meeting, two points are at the top of the pendency list this year: Balanced finances and progress in moving to Europe.

Neuer Vorstand konstituiert

Kurz vor Weihnachten hat die Generalversammlung von CAcert Inc. stattgefunden. Die meisten Mitglieder des Vorstandes haben sich für ein weiteres Jahr zur Verfügung gestellt. Zwei Mitglieder, die auch noch andere Aufgaben innerhalb der CAcert-Gemeinschaft wahrnehmen, konzentrieren sich in Zukunft auf diese.

Am 12. Januar 2018 (13. Januar Ortszeit in Neusüdwales) hat sich der Vorstand konstituiert. Die Arbeit hat er jedoch bereits vorher aufgenommen. Wie bereits an der Generalversammlung gesagt, stehen dieses Jahr zwei Punkte ganz oben auf der Pendenzenliste: Ausgeglichene Finanzen und Fortschritte im Umzug nach Europa.

Nouvelle composition du comité

L’assemblée générale annuelle de CAcert Inc. a eu lieu peu avant Noël. La plupart des membres du comité se sont rendus disponibles pour une nouvelle année. Deux membres, qui s’acquittent également d’autres tâches au sein de la communauté CAcert, se concentreront sur ces questions à l’avenir.

Le 12 janvier 2018 (le 13 janvier, heure locale en Nouvelle-Galles du Sud), le comité a été constitué. Cependant, il a déjà commencé à travailler auparavant. Comme cela a déjà été mentionné lors de l’assemblée générale, deux points sont en tête de liste cette année: Des finances équilibrées et des progrès dans la migration vers l’Europe.

CAcert Inc. has a new Public Officer

Hand over in front of the government house in Sydney, New South Wales.

Since 2011, Kevin Dawson held as public officer liaison to the New South Wales government offices. At his own request he would like to step a little shorter. The committee of CAcert Inc. regrets this decision and thanks Kevin for his tireless efforts in the background and wishes him all the best for the future.

These days, the office was handed over to Alexander Samad, who has been a member of the committee since March 2017. Alexander fulfills all legal obligations for this office.

Deutsch: CAcert Inc. hat neuen Public Officer

Rund sechs Jahre war Kevin Dawson als Public Officer der Verbindungsmann von CAcert Inc. zu den Neusüdwalisischen Regierungsstellen. Auf seinen eigenen Wunsch möcht er nun etwas kürzer treten. Der Vorstand von CAcert Inc. bedauert den Entscheid und dankt Kevin für seinen unermüdlichen Einsatz im Hintergrund und wünscht ihm für die weitere Zukunft alles Gute.

Dieser Tage erfolgte die Amtsübergabe an Alexander Samad, der seit dem 31. März 2017 dem Vorstand angehört. Alexander erfüllt alle gesetzlich vorgeschriebenen Pflichten für dieses Amt.

Français: Un nouveau Officer Public pour CAcert Inc.

Depuis 2011, Kevin Dawson était l’officier public pour la liaison avec les organismes gouvernementaux de la Nouvelle-Galles du Sud. À sa propre demande, il avait maintenant pris sa retraite. Le comité de CAcert Inc. regrette cela et aimerait remercier Kevin pour ses efforts inlassables en arrière-plan et lui souhaite le meilleur pour l’avenir.

Cette journée a été la remise officielle à Alexandre Samad, qui appartient au comité depuis le mars 2017. Alexandre répond à toutes les exigences légales pour ce poste.