Category Archives: News

News Relating to CAcert

New signatures for CAcert-Class 3-Subroot-certificate

New signatures for CAcert-Class 3-Subroot-certificate – Changes for users of CAcert-Certificates
(english version, german see below)

CAcert re-signs its Class 3-certificate with a new SHA256 signature. The formerly used MD5 signature is not seen as fully secure any more by Mozilla and is therefore deprecated. Mozilla is going to drop support for MD5-signed Class 3-subroot and end-entity certificates after 30th June. Users of Mozilla products like Firefox, and Thunderbird may experience errors when these programs try to verify such certificates.

Hence webmasters, as well as users of CAcert’s Class 3-certificates, have to download and install the newly signed certificates from CAcert’s website. The same procedure applies if the Class 3-certificate is used for secure e-mail communication, for code signing, or for document signing.

The procedure in short:
1. Download the new Class 3 PKI Key from http://www.cacert.org/index.php?id=3

2. Either install it directly in your browser, or any other client program you use the certificate for, or save it to the SSL configuration directory of your webserver. For Apache this may be: /etc/apache2/ssl/class3.crt (PEM-Format)

3. Verify the SHA1-fingerprint of the downloaded certificate:
AD:7C:3F:64:FC:44:39:FE:F4:E9:0B:E8:F4:7C:6C:FA:8A:AD:FD:CE
Example Commandline: openssl x509 -fingerprint -noout -in class3.crt
Or look at the fingerprint when importing the certificate into the webbrowser

4. Webmaster now re-create the necessary hash with c_rehash, or the like

By using the safe SHA256-hash CAcert is focussing on securing the internet on a continuing basis. Further information is given on CAcert’s Wiki page.

-+-

Neue Signaturen für CAcert-Class 3-Subroot-Zertifikat – Änderungen für Nutzer von CAcert-Zertifikaten

CAcert signiert sein Class 3-Subroot-Zertifikat neu mit einer SHA256-Signatur. Die bisherige von CAcert genutzte MD5-Signatur wird von Mozilla als nicht mehr ausreichend sicher angesehen. Mozilla wird deshalb MD5-signierte Class 3-Subroot- und End-Zertifikate nach dem 30. Juni nicht mehr unterstützten. Benutzer etwa von Firefox und Thunderbird können nach diesem Tag einen Fehler beim Prüfen MD5-signierter Zertifikate erhalten.

Webmaster wie Webbenutzer müssen daher, wenn sie das Class 3-Subroot-Zertifikat verwenden, dieses neu von der CAcert-Webseite herunterladen und installieren. Gleiches ist erforderlich bei Verwendung der Class 3-Zertifikate für sichere E-Mail-Kommunikation, zur Code-Signierung oder zum Unterzeichnen von Dokumenten.

Der Ablauf in Kurzform:
1. Den neuen Class 3 PKI Key von http://www.cacert.org/index.php?id=3 herunterladen

2. Je nach Anforderung entweder direkt im Browser bzw. anderen, benutzten Programmen installieren oder in das SSL-Konfigurationsverzeichnis des Webservers ablegen. Für Apache zum Beispiel: /etc/apache2/ssl/class3.crt (PEM-Format)

3. Den SHA1-Fingerabdruck des heruntergeladenen Zertifikats prüfen:
AD:7C:3F:64:FC:44:39:FE:F4:E9:0B:E8:F4:7C:6C:FA:8A:AD:FD:CE
Beispiel Kommandozeile: openssl x509 -fingerprint -noout -in class3.crt
Oder im Web-Browser Anzeige des Fingerprints beim Zertifikatsimport

4. Webmaster erzeugen dann den erforderlichen Hash mit c_rehash oder ähnlichen Programmen neu

Durch den nun verwendeten SHA256-Hash investiert CAcert weiter in ein sicheres Internet. Weitere Informationen befinden sich im CAcert-Wiki.

svn.cacert.org on new host with client certificate authentication now!

Today I finished the migration of svn.cacert.org to a LXC container on our new infrastructure machine. The container is running on Debian Squeeze and supports some nice new features:

Read only access is provided via http://svn.cacert.org/ as it was before.

Besides allowing client certificate authentication for our Subversion repository this is a big step forward as we now have a modern infrastructure machine with a recent operating system distribution.

If you already have a SVN account on svn.cacert.org and want to use the client certificate authentication feature please send a mail to svn-admin (at) cacert (dot) org.

Easter Egg Challenge 2011

Easter Egg
We’ve just started our this years Easter Egg Challenge … We’ve put a couple of patches on to our testserver CACERT1 for you, our fellow and our new Software testers. We’ve put light to heavy patches to the package so everybody is able to walk thru the testserver web pages and search our Easter Egg’s.
Continue reading

CAcert in german freeX magazine


The word of CAcert has been spread again in the Computer News in Germany. This time the main focus was put on the use of client certificates: What is the function and how does it intregrate into the popular open source email client Thunderbird, not forgetting other clients like Evolution, Claws-Mail, and the like. It also gives some background of CAcert and a short introducton on how CAcert works. The article in the freeX magazine 2/2011 is in german language. Hope you enjoy it, though 🙂

Aus dem Artikel:
Bewegt man sich im Internet, stößt man auf immer mehr Seiten, mit denen verschlüsselt kommuniziert wird. Solche Seiten mit der Kennung https verschlüsseln die Pakete per SSL. Damit sichergestellt ist, daß man auch mit der richtigen Domain in Kontakt ist und die Daten nicht
kompromittiert werden, identifiziert sich der Server mit Zertfikaten beim Client. Aber nicht nur bei Seitenaufrufen im Web, sondern auch bei E-Mails bedient man sich heute immer häufiger der verschlüsselten Datenübertragung. Die Grundlage sind auch hier Zertifikate. Sie sind eine Art Beglaubigung und bestehen aus einem öffentlichen Teil, der verteilt werden darf, und einem privaten Teil, der ausschließlich dem Benutzer und seinen Programmen zugänglich sein darf. Aus Sicherheitsgründen empfiehlt es sich sogar, die privaten Zertifikate ausschließlich paßwortgeschützt abzulegen. Die heute gebräuchlichen X.509-Zertifikate sichern die Authentizität, Integrität und Vertraulichkeit und bilden damit die Grundlage interner und externer Kommunikation. Doch in der Praxis scheitert eine unternehmensweite Verbreitung von digitalen Zertifikaten zur Absicherung von Servern und E-Mail-Kommunikation – gerade bei kleinen und mittelständischen Betrieben – aber häufig am begrenzten Budget der IT-Abteilung, denn bei den kommerziellen Zertifizierungsstellen fallen schnell jährliche Bereitstellungskosten von mehreren tausend Euro an, und auch für Privatanwender sind wenige hundert Euro Kosten im Jahr oft nicht tragbar.

Um ohne entsprechende Investitionen eine deutliche Steigerung der Sicherheit der Internetkommunikation zu erreichen, kam im Jahr 2002 der Australier Duane Groth auf die Idee, bei X.509-Zertifikaten die zentralisierte Identitätsprüfung kommerzieller Anbieter durch ein Web of Trust zu ersetzen, wie man es in ähnlicher Form von PGP kennt. Er gründete CAcert als community-basierte, nicht-kommerzielle Certification Authority (CA).

Der Originalartikel als PDF mit Bildern
Der ganze Beitrag im Wiki ohne Bilder

New procedure for Name Change after Marriage w/ Assurance

To all community member and assurer,

The arbitration and support teams developed a new “Name Change after
Marriage w/ Assurance” procedure though an arbitration case a20110330.1.
The procedure is outlined in
http://wiki.cacert.org/Arbitrations/Training/Lesson12 and
http://wiki.cacert.org/Support/Handbook/PrecedentCases/a20110330.1.
This should speed up the process of a name change after marriage.

All you need to do is (for the user who wants to get a name change after
marriage):

1. Find at least 2 Assurer to do an Assurance
2. Send a list of the assurers that can confirm the name change after
marriage to support

That’s it.

Support than will contact the parties to get further information.

Workaround for Russian Translation of the CAcert Website (bug #900)

Russia Translation of CAcert.org WebsiteWe had received a couple of reports by either irc, emails to support or on mailing lists, that the Russian Translation of our CAcert.org Website has garbled Russian translations. This has been reported as Bug #900.

After several analyzes, tests, discussions, we came to the conclusion, that we need an overall UTF-8 upgrade of the critical system. This has to be started as an individual project. As this project doesn’t effects our great efforts on Audit, the priority is lowered against several other Audit essential projects. So currently, there is no easy and no quick fix possible. So we, or better to say Michael V. A. (one of the bug reporters) worked out an workaround:

the exact steps to reproduce both the problem and the workaround:

1. The Bug
http://CAcert.org [^] / Translations / ???????
( http://www.cacert.org/index.php?id=0&lang=ru_RU )

Now the text is garbled (“Western ISO-8859-1” autodetected).

2. The Workaround
Switching to ISO-8859-5.

In my browser (Firefox 3.6.13) it’s exactly the following:

View / Character Encoding / More Encodings
/ East European / Cyrillic (ISO-8859-5)

Now all Russian text is okay.
The workaround works for me.
Yes, I think this should work for other users, as well.