Category Archives: News

News Relating to CAcert

4. Advent: With your help, there is some light at the end of the tunnel

Leave a reply

DEUTSCH WEITER UNTEN / FRANCAIS CI-DESSOUS

The word “Advent” is Latin and means “arrival”. In the church, Advent is the time of waiting for Christmas. For four weeks. In darkness. But then it gets light. The Christmas season from Christmas Eve to Epiphany: candles, fine food, angels singing, beautiful music, presents.

If we transfer this to CAcert, CAcert is also in a kind of Advent season: it has been going on for a while and will continue for a while longer. It is dark, but we hope for something better. “The people in darkness await the coming of the light.” CAcert activists have been setting a new course for various things over the past few years. We see light at the end of the tunnel. But again, workers are few and work is many.

Therefore, on this fourth Sunday of Advent, we are launching an appeal to all: Come and join us. Join in. Help somewhere. Half an hour here or an hour there. Can we do this once a week? You and I, all of us together, will get there faster! At the moment there are two important jobs. They are far too big for one person, but we can manage them if we share the workload:

  1. rewrite the PHP code (a big start is already done). After that, a lot of important smaller work can be done by others, which has already been prepared.
  2. a new possibility to create certificates on your own computer with a few mouse clicks, like in the browser before Mozilla and Google removed the command from the browsers. Here, too, a small group is actively researching and evaluating the first possibilities. Subsequently, we have two projects in the pipeline to roll out, with which CAcert can go mainstream and also sustainably improve the financial situation.

Maybe your country or region is in official hibernation at the moment? Or are you quarantined for a fortnight? Then use the time; every contribution helps, every line of code, every support!

This is your next step:

Still hesitating? Then look here: https://bugs.cacert.org Grab a small bug and present your solution. You have 1001 possibilities.

FRANCAIS

Le mot “Avent” est en latin et signifie “arrivée”. Dans l’église, Avent est la saison de l’attente de Noël. Pendant quatre semaines. Dans l’obscurité. Mais ensuite, il y a de la lumière. La saison de Noël, de la veille de Noël à l’Épiphanie: bougies, nourriture fine, chants d’anges, belle musique, cadeaux.

Si on applique cela à CAcert, CAcert est aussi dans une sorte de saison de l’Avent: cela dure depuis un certain temps et cela va durer encore un certain temps. Il fait sombre, mais nous espérons quelque chose de mieux. “Les gens dans les ténèbres attendent la venue de la lumière.” Les militants de CAcert ont réinitialisé divers commutateurs au cours des dernières années. Nous voyons de la lumière au bout du tunnel. Mais là encore, les travailleurs sont peu nombreux et le travail est nombreux.

C’est pourquoi, en ce quatrième dimanche de l’Avent, nous lançons un appel à tous: venez nous rejoindre. Rejoignez-nous. Aider quelque part. Une demi-heure ici ou une heure là. Pouvons-nous le faire une fois par semaine? Vous et moi, tous ensemble, nous y arriverons plus vite! Pour l’instant, il y a deux emplois importants. Ils sont trop grands pour une seule personne, mais nous pouvons les faire ensemble:

  1. réécrire le code PHP (un grand départ est déjà fait). Après cela, nous pouvons faire beaucoup de petits travaux importants, qui sont déjà préparés.
  2. une nouvelle possibilité de créer à nouveau des certificats sur votre propre ordinateur en quelques clics de souris, comme dans le navigateur avant que Mozilla et Google ne suppriment la commande des navigateurs. Là encore, un petit groupe recherche et évalue activement les premières possibilités. Par la suite, nous avons deux projets en cours de réalisation, qui permettront à CAcert de se généraliser et d’améliorer la situation financière de manière durable.

Peut-être votre pays ou votre région est-il en hibernation officielle en ce moment? Ou vous êtes sous quarantaine pour deux semaines? Alors profitez du temps; chaque contribution aide, chaque ligne de code, chaque soutien!

C’est votre prochaine étape:

Vous hésitez encore? Alors regardez ici: https://bugs.cacert.org Capturez un petit bug et présentez votre solution. Vous avez 1001 possibilités.

DEUTSCH

Das Wort “Advent” ist lateinisch und bedeutet “Ankunft”. Die Adventszeit ist in der Kirche die Wartezeit, in der man auf Weihnachten warten. Vier Wochen lang. In der Dunkelheit. Doch dann wird es hell. Die Weihnachtszeit von Heilig Abend bis Dreikönigstag: Kerzen, feines Essen, Engelsgesang, schöne Musik, Geschenke.

Wenn wir dies auf CAcert übertragen, befindet sich CAcert auch in einer Art Adventszeit: Sie dauert schon eine Weile und wird noch etwas weiter andauern. Es ist dunkel, aber wir hoffen auf etwas besseres. “Das Volk im Dunkeln wartet auf die Ankunft des Lichts.” Die Aktiven von CAcert haben in den vergangenen Jahren verschiedene Weichen neu gestellt. Wir sehen Licht am Ende des Tunnels. Aber auch hier gilt: Der Arbeiter sind wenige und Arbeit viel.

Deshalb lancieren wir am heutigen vierten Adventssonntag einenn Appell an alle: Komm zu uns. Mach mit. Hilf irgendwo. Eine halbe Stunde hier oder eine Stunde dort. Geht das einmal wöchentlich? Du und ich, wir alle zusammen kommen gemeinsam schneller ans Ziel! Im Moment stehen zwei wichtige Arbeiten an. Für einen sind die viel zu gross, aber aufgeteilt auf mehrere Schultern können wir die stemmen:

  1. Den PHP Code neu schreiben (ein grosser Anfang ist bereits erledigt). Anchliessend können ganz viele wichtige kleinere Arbeiten ausgeführt werden, die bereits vorbereitet sind.
  2. Eine neue Möglichkeit, dass man Zertifikate wieder mit wenigen Mausklicks auf dem eigenen Computer erstellen kann, wie weiland im Browser, bevor Mozilla und Google des -Befehl aus den Browsern entfernt haben. Auch hier ist eine kleine Gruppe aktiv am Forschen und evaluiert erste Möglichkeiten. Anschliessend haben wir zzwei Projekte in der Pipeline zum Ausrollen, mit denen CAcert in die Fläche geht und auch die finanzielle Situation nachhaltig verbessern kann.

Vielleicht ist dein Land oder deine Region im Moment gerade im amtlich verordneten Winterschlaf? Oder du stehst für vierzehn Tage unter Quarantäne? Dann nutze die Zeit; jeder Beitrag hilft, jede Codezeile, jede Unterstützung!

Das ist dein nächster Schritt:

Zögerst du noch? Dann schau hier: https://bugs.cacert.org Schnapp dir einen kleinen Bug und präsentiere deine Lösung. Du hast 1001 Möglichkeiten.

3. Advent: More volunteers active with CAcert

Leave a reply

DEUTSCH WEITER UNTEN / RÉSUMÉ FRANÇAIS À LA FIN

We at CAcert are well positioned in the current special circumstances in almost all cases. For us, home office is everyday life and the usual distances between our volunteers at work are not measured in centimetres or metres, but in kilometres.

Today, the third Sunday of Advent, we introduce the new support. At the moment, we are in the process of significantly expanding the support service. Currently, new volunteers are being trained and are helping to ensure that enquiries can be processed more quickly. In Cologne they are called Heinzelmännchen, in Sweden they are called Tomte – no matter what you want to call these people who help you in their spare time at CAcert, they are located in Western Europe, Central Europe, Latin America and soon also in Central Asia. They can be reached via the internet, where there is efficient protection against viruses.

We wish you all a peaceful Advent season. If you get bored because of closed leisure and cultural institutions, think of your CAcert community. For example, in the bug tracker there are many smaller and larger projects that you can take on and give the community a small gift at Christmas or New Year by solving a problem.

DEUTSCH

Wir bei CAcert sind in den aktuellen besonderen Umständen in fast allen Fällen gut aufgestellt. Bei uns ist Home Office Alltag und die üblichen Distanzen zwischen unseren Freiwilligen im Betrieb messen sich nicht in Zentimetern odern Metern, sondern in Kilometern. Am heutigen dritten Adventssonntag stellen wir euch den neuen Support vor. Im Moment sind daran, den Support deutlich auszubauen. Zur Zeit werden neue Freiwillige eingearbeitet und helfen mit, dass Anfragen schneller bearbeitet werden können. In Köln nennt man sie Heinzelmännchen, in Schweden heisst er Tomte – egal wie Sie diese Leute nennen wollen, die Ihnen in ihrer Freizeit bei CAcert weiterhelfen, sie sitzen in Westeuropa, Mitteleuropa, Lateinamerika und demnächst auch in Zentralasien. Erreichbar sind sie übers Internet, wo gegen Viren effizienter Schutz besteht.

Wir wünschen allen eine geruhsame Adventszeit. Sollten Ihnen wegen geschlossener Freizeit- und Kulturinstitutionen langweilig werden, denken Sie doch an Ihre CAcert-Gemeinschaft. Zum Beispiel im Bug-Tracker gibt es viele kleinere und grössere Projekte, denen Sie sich annehmen können und der Gemeinschaft auf Weihnachten oder Neujahr mit der Lösung eines Problems ein kleines Geschenk machen.

FRANÇAIS

Pour l’instant, nous sommes en train d’élargir considérablement le service de soutien. Actuellement, de nouveaux volontaires sont formés et contribuent à garantir un traitement plus rapide des demandes.

Nous vous souhaitons à tous une saison de l’Avent paisible. Si vous vous ennuyez à cause de la fermeture des institutions culturelles et de loisirs, pensez à votre communauté de CAcert. Par exemple, dans le bug tracker il y a beaucoup de petits et grands projets que vous pouvez prendre en charge et offrir à la communauté un petit cadeau à Noël ou au Nouvel An en résolvant un problème.

No pandemic restrictions for CAcert’s services

Leave a reply

DEUTSCH Die meisten Dienstleis-tungen von CAcert unterliegen nicht den behördlichen Pandemie-Ein-schränkungen. Support und Zerti-fikatsausstellung werden weiterhin rund um die Uhr angeboten, die gesetzlichen Mindestabstände bei weitem eingehalten.

Bei einer Assurance sind normalerweise weniger als 5 Personen anwesend und sich nur für kurze (weniger als 15 min) Zeit treffen. Wir empfehlen zu Beginn und am Ende die Hände mindestens 30s lang einzuseifen und während der ganzen Assurance eine Maske zu tragen. Wenn möglich soll eine Assurance in Freien stattfinden.

FRANÇAIS La plupart des services de CAcert ne sont pas soumis à des restrictions réglementaires en cas de pandémie. L’assistance et la délivrance de certificats continuent d’être offertes 24 heures sur 24, et les distances minimales légales sont de loin respectées.

Lors d’une accréditation, moins de 5 personnes sont généralement présentes et ne se rencontrent que pour une courte durée (moins de 15 minutes). Nous recommandons de se savonner les mains pendant au moins 30 secondes au début et à la fin et de porter un masque pendant toute la durée de l’accréditation. Si possible, une accréditation doit avoir lieu à l’extérieur.

ITALIANO La maggior parte dei servizi di CAcert non sono soggetti a restrizioni normative in caso di pandemia. Il supporto e l’emissione di certificati continuano ad essere offerti 24 ore su 24 e le distanze minime legali sono di gran lunga rispettate.

Durante un’assicurazione, di solito sono presenti meno di 5 persone e si incontrano solo per un breve periodo di tempo (meno di 15 minuti). Si consiglia di insaponare le mani per almeno 30s all’inizio e alla fine e di indossare una maschera per tutta la durata dell’assicurazione. Se possibile, l’assicurazione dovrebbe avvenire all’aperto.

ENGLISH Most of CAcert’s services are not subject to the official pandemic restrictions. Support and certificate issuance continue to be offered around the clock, and the legal minimum distances are by far adhered to.

During an assurance, usually less than 5 people are present and meet for a short (less than 15 min) time. We recommend soaping hands for at least 30s at the beginning and end and wearing a mask throughout the assurance. If possible, an assurance should take place outdoors.

ESPAGÑOL La mayoría de los servicios de CAcert no están sujetos a restricciones reglamentarias en caso de pandemia. Se sigue ofreciendo apoyo y emisión de certificados las 24 horas del día, y se respetan con mucho las distancias mínimas legales.

Durante una aseguración, normalmente están presentes menos de 5 personas y sólo se reúnen durante un corto tiempo (menos de 15 minutos). Recomendamos enjabonar las manos por lo menos 30s al principio y al final y usar una máscara durante todo el aseguración. Si es posible, una aseguración debe tener lugar al aire libre.

CAcert moves to Europe

1 Reply
A kangooroo in the Swiss alps
CAcert’s first steps in the new home

EN CAcert Inc, the association that runs the infrastructure on behalf of the international CAcert community moves from New South Wales to Europe. This was a project and a dream for many years. On the annual general meeting 2020 the members of CAcert Inc vote with a large majority to adapt the statutes.

DE An der Generalversammlung von CAcert Inc, dem Trägerverein, haben die Mitglieder mit grosser Mehrheit der Statutenrevision zugestimmt, mit welcher der Hauptsitz, wie seit langem geplant, nach Europa verlegt wird.

FR Depuis que la grande majorité des membres de la communauté CAcert habitent en Europe, il a été souhaité de transférer l’association CAcert Inc qui gère l’infrastructure dans ce continent. Lors de l’assemblée générale 2020, les dernières décisions nécessaires ont été prises.

Mozilla Firefox is blocking CAcert.org websites – how to get access again

2 Replies
abwählen
Remove the tick here to unblock the cacert.org sites.

You are on the Internet with Firefox. So far, this was actually not a bad decision. However, when connecting to cacert.org an error now occurs. The OCSP response contains outdated information.

Error code: SEC_ERROR_OCSP_OLD_RESPONSE

This surprises you, because you have previously expressed your trust in the CAcert (CA Cert Signing Authority) root certificate. Today, however, you are still not getting access. This has to do with an update from Firefox, which changes a default setting.

The solution: Go to Settings -> Certificates: The option “Confirm current validity of certificates by request to OCSP server” must be deactivated (see picture: there must not be a tick at the red marked position), then it works again. (Dear Mozilla developers, this would not have been absolutely necessary).

Mozilla Firefox blockiert CAcert-Seiten – so geht es trotzdem

3 Replies

abwählenSie sind mit Firefox im Internet unterwegs. Das war bisher eigentlich kein schlechte Entscheidung. Beim Verbinden mit cacert.org tritt nun jedoch ein Fehler auf. Die OCSP-Antwort enthalte veraltete Informationen.

Fehlercode: SEC_ERROR_OCSP_OLD_RESPONSE

Das verwundert Sie, denn Sie haben früher schon dem Stammzertifikat von CAcert (CA Cert Signing Authority) das Vertrauen ausgesprochen. Heute kommen Sie aber trotzdem nicht mehr weiter. Das hat mit einer Aktualisierung seitens Firefox zu tun, welche eine Voreinstellung verändert.

Die Lösung: Gehen Sie unter Einstellungen -> Zertifikate: Die Möglichkeit “Aktuelle Gültigkeit von Zertifikaten durch Anfrage bei OCSP-Server bestätigen lassen” muss man deaktivieren (siehe Bild: an der rot markierten Stelle darf kein Kreuz mehr sein), danach geht es wieder. (Liebe Mozilla-Entwickler, das wäre nicht unbedingt nötig gewesen.)

CAcert’s European Bank Accounts

3 Replies

deutsch:
Ab sofort können Zahlungen aus dem SEPA-Raum* auf das europäische Bankkonto von CAcert überwiesen werden. Für Spenden können Sie weiterhin das Bankkonto von Secure-U in Deutschland verwenden (so vermeiden wir, dass Geld sinnlos hin- und her geschoben wird, da Secure-U für uns die Server mietet); für Mitgliederbeiträge sollte jedoch das untenstehende Bankkonto in der Schweiz verwendet werden, da nur dann der Mitgliederbeitrag dem Mitglied zugeordnet werden kann. Sie finden untenstehend Name, Postleitzahl/Ort, IBAN-Kontonummer und Bank:

CAcert Inc
7514 Sils im Engadin
Schweiz
IBAN: CH02 0077 4010 3947 4420 0
Graubündner Kantonalbank, Chur
Clearing 774
BIC (SWIFT) GRKBCH2270A

Payments from these countries (SEPA) are particularly easy.

italiano:
A partire da ora, i pagamenti dall’area SEPA* possono essere trasferiti sul conto bancario europeo di CAcert. Per le donazioni prego di utilizzare il conto bancario Secure-U in Germania; tuttavia, per le quote associative, si deve utilizzare il conto bancario in Svizzera sotto indicato, poiché solo in tal caso la quota associativa può essere assegnata al socio. Qui di seguito trovate nome, numero postale/località, numero di conto IBAN e banca:

CAcert Inc
7514 Siglio in Engadina
Svizzera
IBAN: CH02 0077 4010 3947 4420 0
Banca Cantonale Grigione, Coira
Clearing 774
BIC (SWIFT) GRKBCH2270A

Rumantsch:
CAcert Inc
7514 Segl Maria
Svizra
IBAN: CH02 0077 4010 3947 4420 0
Banca Chantunala Grischuna, Cuira
Clearing 774
BIC (SWIFT) GRKBCH2270A

English:
As of now, payments from the SEPA area* can be transferred to CAcert’s European bank account. For donations, the Secure-U bank account in Germany can still be used (to avoid that money is transfered twice on the same account); however, for membership fees, the bank account in Switzerland listed below should be used, as only then the membership fee can be assigned to the member. Below you will find name, postcode/town, IBAN account number and bank:

The leading bank in southeastern Switzerland.

CAcert Inc
7514 Sils/Segl Maria
IBAN: CH02 0077 4010 3947 4420 0
Grisons Cantonal Bank, Coire
Clearing 774
BIC (SWIFT) GRKBCH2270A

The bank is rated AA/stable by Standard&Poor. It also has a state guarantee from the state (canton) of Grisons (one of Switzerland’s 26 provinces).

Français:
Dès à présent, les paiements provenant de l’espace SEPA* peuvent être transférés sur le compte bancaire européen de CAcert. Pour les dons, continuez d’utliser le compte bancaire Secure-U en Allemagne; en revanche, pour les cotisations, il convient d’utiliser le compte bancaire en Suisse indiqué ci-dessous, car ce n’est qu’alors que la cotisation peut être attribuée au membre. Vous trouverez ci-dessous le nom, le code postal/le lieu, le numéro de compte IBAN et la banque :

CAcert Inc
7514 Segl Maria
IBAN: CH02 0077 4010 3947 4420 0
Banque Cantonale des Grisons, Coire
Clearing 774
BIC (SWIFT) GRKBCH2270A

* SEPA Area: all 27 countries of the European Union, furthermore: Guadeloupe, French Guyana, Martinique, Réunion, Mayotte, Saint-Pierre, Miquelon, Canary Islands, Azores, Madeira, Ceuta, Melilla, United Kingdom, Gibraltar, Isle of Man, Jersey, Guernsey, Switzerland, Liechtenstein, Norway, Iceland, Monaco, San Marino, Holy Seed, Croatia, Andorra.

Browser manufacturers shorten certificate lifetime to one year

4 Replies

From September onwards, HTTPS certificates may only be issued for a maximum of one year.

Reading time: 1 min.

CAcert will adapt the free certificates

The maximum validity of certificates for proof of identity on the web will be further reduced – in the next step to one year. Although a vote on this issue in the CA/Browser Forum failed in September due to resistance from the certification authorities, it is still being discussed. But in March Apple came forward and declared that Safari will only accept certificates issued after September 1, 2020 if they are not valid for more than one year.

Now Mozilla and Google are following suit and creating facts. In the past, terms of 5 years were not unusual. Currently, certificates may still be issued for 2 years (more precisely: 825 days — i.e. plus some grace period). With the renewed tightening, Chrome, for example, delivers an ERR_CERT_VALIDITY_TOO_LONG if a certificate was issued after September 1, 2020 and is valid for more than 398 days.

Revocation broken

The main reason for the constant shortening of the certificate lifetime is the fact that there is no generally functioning revocation mechanism by which a certificate could be revoked. Revocation lists (CRLs) and the Online Certificate Status Protocol (OCSP) have proven to be unsuitable and are now switched off by default.

The browser manufacturers still maintain their own internal revocation lists, which they can use to react to acute incidents. But this is a quasi manual procedure that can only cover significant problem cases. Ultimately, the browser manufacturers are now focusing on damage limitation: if, for example, the secret key of a certificate is stolen, an expiration date that is approaching as soon as possible should solve the problem.

No need for action for users

Lets Encrypt, which meanwhile dominates the market, is the pioneer and only issues certificates for 3 months anyway. Renewal is then automated via ACME. According to Mozilla, however, the other certification authorities have also agreed to only issue certificates for 398 days from September 1. In view of the demonstration of power of the browser manufacturers, they probably don’t have much choice.

As a web site operator, you don’t have to do anything else – even if you still have a certificate with a longer validity in operation. The new rule only applies to certificates issued after September 1, 2020.

Les fabricants de navigateurs ramènent la durée de vie des certificats à un an

Leave a reply

À partir de septembre, les certificats HTTPS ne peuvent être délivrés que pour une durée maximale d’un an.

CAcert adaptera ses certificats

Temps de lecture: 1 min.

La validité maximale des certificats pour la preuve d’identité sur le Web est encore réduite – dans l’étape suivante à un an. Un vote à ce sujet au sein du CA/Browser Forum en septembre a échoué en raison de la résistance des autorités de certification. Mais en mars, Apple s’est manifesté et a déclaré que Safari n’acceptera les certificats émis après le 1er septembre 2020 que s’ils ne sont pas valables plus d’un an.

Aujourd’hui, Mozilla et Google suivent le mouvement et créent des faits. Dans le passé, des mandats de 5 ans n’étaient pas inhabituels. Actuellement, les certificats peuvent encore être délivrés pour 2 ans (plus précisément : 825 jours — c’est-à-dire plus un certain délai de grâce). Avec le nouveau resserrement, Chrome, par exemple, délivre un ERR_CERT_VALIDITY_TOO_LONG si un certificat a été délivré après le 1er septembre 2020 et est valable plus de 398 jours.

Révocation cassée

La principale raison de la réduction constante de la durée de vie des certificats est le fait qu’il n’existe pas de mécanisme de révocation généralement opérationnel permettant de révoquer un certificat. Les listes de révocation (CRL) et le protocole OCSP (Online Certificate Status Protocol) se sont révélés inadaptés et sont désormais désactivés par défaut.

Les fabricants de navigateurs tiennent toujours leurs propres listes de révocation internes, qu’ils peuvent utiliser pour réagir à des incidents graves. Mais il s’agit d’une procédure quasi manuelle qui ne peut couvrir que les cas problématiques importants. En fin de compte, les fabricants de navigateurs se concentrent maintenant sur la limitation des dommages: si, par exemple, la clé secrète d’un certificat est volée, une date d’expiration qui approche le plus tôt possible devrait résoudre le problème.

Pas de nécessité d’action pour les utilisateurs

Lets Encrypt, qui domine entre-temps le marché, est le pionnier et ne délivre de toute façon des certificats que pour 3 mois. Le renouvellement est ensuite automatisé via ACME. Selon Mozilla, cependant, les autres autorités de certification ont également accepté de ne délivrer des certificats que pour 398 jours à partir du 1er septembre. Compte tenu de la démonstration de puissance des fabricants de navigateurs, ils n’ont probablement pas beaucoup de choix.

En tant qu’exploitant de site web, vous n’avez rien d’autre à faire – même si vous disposez toujours d’un certificat d’une durée de validité plus longue en service. La nouvelle règle ne s’applique qu’aux certificats délivrés après le 1er septembre 2020.

Screenshot of community.cacert.org

Recent infrastructure updates

2 Replies

In the past few weeks Dirk Astrath and me upgraded some of our infrastructure systems to Debian Buster and implemented some performance improvements.

The blog system you are just visiting is one of these systems. We also upgraded the wiki system and finished the setup of the new community Webmail system.

The old staff list and community email password reset pages have been replaced with a modern system that is now available at https://selfservice.cacert.org/.

The git code hosting system at https://git.cacert.org/ has been upgraded to Debian Buster too and has been switched from gitweb to cgit for the git web frontend for much better performance. The old gitweb URLs are automatically redirected to the new cgit URLs. This change has the positive side effect that you can now use git clone directly using the https-URLs of the git repositories.

In the background we added Puppet configuration management for the above mentioned systems and replaced the aged nrpe-based monitoring with Icinga 2 agents.

We setup a new community start page at https://community.cacert.org/ that leads you to resources that we think is relevant for our community members.