Today we switched the connection to our main website as a preparation for a “bigger” change. Unfortunately this (temporary) change is not IPv6-capable, so only IPv4 is working currently.
Over the weekend we plan to move www.cacert.org to another server for a more recent environment and add a second firewall to our rack. During this server-transition you may face some issues while using www.cacert.org, after the weekend the services should be normal again.
Early next week we’ll enable IPv6 again for our main website (maybe by using a new IPv6-Address, but that’s not yet decided).
All other services (like blog/wiki/bugs/…) should remain active as usual as there is currently no planned update.
Question of a member of the community: The Class3 certificate is set to expire this year in May. What do I need to do with: a) My existing certificates that were signed against the Class 3 b) Installation of the new Class3 and when will that happen?
Answer from our volunteer critical system administrator: Thank you for this question. We started the resigning procedure already last year. We plan to use the same private key for the new class-3-certificate, so the old certificates will remain valid.
As the resigning needs to be done in the data centre in the Netherlands, this is planned for February/March – depending on the pandemic situation. So there will be enough time to replace the Class-3-Root in your configuration (Certificate-Chain) or your Browsers.
Deutsch: Die Planung, um das Class-3-Zertifikat neu zu signieren wurden bereits im letzten Jahr aufgenommen. Der Zeitplan ist grosszügig, dass die Arbeiten unserer Freiwilligen vor Mai abgeschlossen sein werden.
Français: Le projet de re-signer le certificat de la classe 3 a été lancé l’année dernière. Le calendrier est généreux, le travail de nos volontaires sera terminé avant le mois de mai.
Español: La planificación para volver a firmar el certificado de la clase 3 comenzó el año pasado. El programa es generoso, el trabajo de nuestros voluntarios se completará antes de mayo.
Português: O planejamento para assinar novamente o certificado de Classe 3 começou no ano passado. O cronograma é generoso, pois o trabalho de nossos voluntários será concluído antes de maio.
Cette année, sur ordre gouvernemental, pas de feu d’artifice. Nous ne serons pas privés de la vue sur l’immensité du ciel.
Dans quelques heures, une nouvelle année commence. 2020 a été difficile pour beaucoup d’entre nous, certaines choses dans la communauté n’ont été possibles qu’avec difficulté ou pas du tout. Heureusement, à CAcert, les distances sont généralement assez grandes et même une accréditation avec un masque facial est sans danger pour la santé.
Pour que la nouvelle année soit meilleure à tous égards, il est important que nous mettions nos objectifs par écrit. Le moyen le plus simple de le faire est d’utiliser cette feuille: imprimer, remplir, afficher à un endroit bien visible. Il est préférable d’avoir de petits objectifs réalisables ou un seul objectif. Si cet objectif est bientôt atteint, vous pouvez fixer un nouvel objectif sur la ligne ci-dessous. Bonne chance!
El gobierno puede prohibir los fuegos artificiales, las estrellas seguirán brillando y el año nuevo llegará igual.
En pocas horas, comenzará un nuevo año. El año 2020 fue difícil para muchos de nosotros, algunas cosas en la comunidad sólo fueron posibles con dificultad o no fueron posibles en absoluto. Afortunadamente, en CAcert las distancias suelen ser lo suficientemente grandes y también una garantía con una mascarilla facial es inofensiva para la salud.
Para que el nuevo año sea mejor en todos los aspectos, es importante que pongamos nuestros objetivos por escrito. La forma más fácil de hacerlo es con esta hoja: imprimirla, rellenarla, colgarla en un lugar claramente visible. Es mejor tener metas pequeñas que sean alcanzables o sólo una meta. Si este objetivo se alcanza pronto, puede establecer un nuevo objetivo en la línea de abajo. ¡Buena suerte!
Auch wenn Feuerwerk dieses Jahr verboten ist, lohnt sich ein Blick in den Himmel.
In wenigen Stunden beginnt ein neues Jahr. 2020 war für viele von uns schwierig, manches in der Gemeinschaft war nur erschwert oder gar nicht möglich. Bei CAcert sind glücklicherweise die Abstände normalerweise genügend gross und auch eine Assurance mit einer Gesichtsmaske ist gesundheitlich unbedenklich.
Damit das neue Jahr in allen Belangen ein besseres Jahr wird, ist es wichtig, dass wir unsere Ziele schriftlich festhalten. Am einfachsten gelingt das mit diesem Blatt: ausdrucken, ausfüllen, gut sichtbar aufhängen. Lieber kleine Ziele, die erreichbar sind oder nur ein Ziel. Wenn dieses schon bald erreicht ist, kann man sich ja ein neues Ziel setzen auf der Zeile darunter. Viel Erfolg!
The word “Advent” is Latin and means “arrival”. In the church, Advent is the time of waiting for Christmas. For four weeks. In darkness. But then it gets light. The Christmas season from Christmas Eve to Epiphany: candles, fine food, angels singing, beautiful music, presents.
If we transfer this to CAcert, CAcert is also in a kind of Advent season: it has been going on for a while and will continue for a while longer. It is dark, but we hope for something better. “The people in darkness await the coming of the light.” CAcert activists have been setting a new course for various things over the past few years. We see light at the end of the tunnel. But again, workers are few and work is many.
Therefore, on this fourth Sunday of Advent, we are launching an appeal to all: Come and join us. Join in. Help somewhere. Half an hour here or an hour there. Can we do this once a week? You and I, all of us together, will get there faster! At the moment there are two important jobs. They are far too big for one person, but we can manage them if we share the workload:
rewrite the PHP code (a big start is already done). After that, a lot of important smaller work can be done by others, which has already been prepared.
a new possibility to create certificates on your own computer with a few mouse clicks, like in the browser before Mozilla and Google removed the command from the browsers. Here, too, a small group is actively researching and evaluating the first possibilities. Subsequently, we have two projects in the pipeline to roll out, with which CAcert can go mainstream and also sustainably improve the financial situation.
Maybe your country or region is in official hibernation at the moment? Or are you quarantined for a fortnight? Then use the time; every contribution helps, every line of code, every support!
Still hesitating? Then look here: https://bugs.cacert.org Grab a small bug and present your solution. You have 1001 possibilities.
FRANCAIS
Le mot “Avent” est en latin et signifie “arrivée”. Dans l’église, Avent est la saison de l’attente de Noël. Pendant quatre semaines. Dans l’obscurité. Mais ensuite, il y a de la lumière. La saison de Noël, de la veille de Noël à l’Épiphanie: bougies, nourriture fine, chants d’anges, belle musique, cadeaux.
Si on applique cela à CAcert, CAcert est aussi dans une sorte de saison de l’Avent: cela dure depuis un certain temps et cela va durer encore un certain temps. Il fait sombre, mais nous espérons quelque chose de mieux. “Les gens dans les ténèbres attendent la venue de la lumière.” Les militants de CAcert ont réinitialisé divers commutateurs au cours des dernières années. Nous voyons de la lumière au bout du tunnel. Mais là encore, les travailleurs sont peu nombreux et le travail est nombreux.
C’est pourquoi, en ce quatrième dimanche de l’Avent, nous lançons un appel à tous: venez nous rejoindre. Rejoignez-nous. Aider quelque part. Une demi-heure ici ou une heure là. Pouvons-nous le faire une fois par semaine? Vous et moi, tous ensemble, nous y arriverons plus vite! Pour l’instant, il y a deux emplois importants. Ils sont trop grands pour une seule personne, mais nous pouvons les faire ensemble:
réécrire le code PHP (un grand départ est déjà fait). Après cela, nous pouvons faire beaucoup de petits travaux importants, qui sont déjà préparés.
une nouvelle possibilité de créer à nouveau des certificats sur votre propre ordinateur en quelques clics de souris, comme dans le navigateur avant que Mozilla et Google ne suppriment la commande des navigateurs. Là encore, un petit groupe recherche et évalue activement les premières possibilités. Par la suite, nous avons deux projets en cours de réalisation, qui permettront à CAcert de se généraliser et d’améliorer la situation financière de manière durable.
Peut-être votre pays ou votre région est-il en hibernation officielle en ce moment? Ou vous êtes sous quarantaine pour deux semaines? Alors profitez du temps; chaque contribution aide, chaque ligne de code, chaque soutien!
C’est votre prochaine étape:
inscrivez-vous auprès des développeurs: https://lists.cacert.org/wws/info/cacert-devel et entrez en contact avec nos volontaires, posez des questions, participez activement, créez du code, vérifiez les concepts, …
Vous hésitez encore? Alors regardez ici: https://bugs.cacert.org Capturez un petit bug et présentez votre solution. Vous avez 1001 possibilités.
DEUTSCH
Das Wort “Advent” ist lateinisch und bedeutet “Ankunft”. Die Adventszeit ist in der Kirche die Wartezeit, in der man auf Weihnachten warten. Vier Wochen lang. In der Dunkelheit. Doch dann wird es hell. Die Weihnachtszeit von Heilig Abend bis Dreikönigstag: Kerzen, feines Essen, Engelsgesang, schöne Musik, Geschenke.
Wenn wir dies auf CAcert übertragen, befindet sich CAcert auch in einer Art Adventszeit: Sie dauert schon eine Weile und wird noch etwas weiter andauern. Es ist dunkel, aber wir hoffen auf etwas besseres. “Das Volk im Dunkeln wartet auf die Ankunft des Lichts.” Die Aktiven von CAcert haben in den vergangenen Jahren verschiedene Weichen neu gestellt. Wir sehen Licht am Ende des Tunnels. Aber auch hier gilt: Der Arbeiter sind wenige und Arbeit viel.
Deshalb lancieren wir am heutigen vierten Adventssonntag einenn Appell an alle: Komm zu uns. Mach mit. Hilf irgendwo. Eine halbe Stunde hier oder eine Stunde dort. Geht das einmal wöchentlich? Du und ich, wir alle zusammen kommen gemeinsam schneller ans Ziel! Im Moment stehen zwei wichtige Arbeiten an. Für einen sind die viel zu gross, aber aufgeteilt auf mehrere Schultern können wir die stemmen:
Den PHP Code neu schreiben (ein grosser Anfang ist bereits erledigt). Anchliessend können ganz viele wichtige kleinere Arbeiten ausgeführt werden, die bereits vorbereitet sind.
Eine neue Möglichkeit, dass man Zertifikate wieder mit wenigen Mausklicks auf dem eigenen Computer erstellen kann, wie weiland im Browser, bevor Mozilla und Google des -Befehl aus den Browsern entfernt haben. Auch hier ist eine kleine Gruppe aktiv am Forschen und evaluiert erste Möglichkeiten. Anschliessend haben wir zzwei Projekte in der Pipeline zum Ausrollen, mit denen CAcert in die Fläche geht und auch die finanzielle Situation nachhaltig verbessern kann.
Vielleicht ist dein Land oder deine Region im Moment gerade im amtlich verordneten Winterschlaf? Oder du stehst für vierzehn Tage unter Quarantäne? Dann nutze die Zeit; jeder Beitrag hilft, jede Codezeile, jede Unterstützung!
Das ist dein nächster Schritt:
melde dich bei den Entwicklern an: https://lists.cacert.org/wws/info/cacert-devel und tritt mit unseren Freiwilligen in Kontakt, Stelle fragen, beteilige dich aktiv, erstelle Code, proove of concepts, …
Zögerst du noch? Dann schau hier: https://bugs.cacert.org Schnapp dir einen kleinen Bug und präsentiere deine Lösung. Du hast 1001 Möglichkeiten.
En grosse Bänz und en chline Bänz sind im Lade gstande. Da seit de grossi Bänz zum chline Bänz: Du häsch so schöni Chnöpf und so schön zöpfleti Zöpf. Nur häd de chlini Bänz leider kei Ohre. Drum gat das Gflüschter im Lade verlore.
In the Alemanic area, Saint Nicholas brings the children small mens, made of bread, called e.g. Grittibänz in the Zurich area or Elgger Ma in the Winterthur area or Mannle in the Alsace. Furthermore oranges, chocolates and nuts.
What did St. Nicholas bring you? Tangerines? Figs? Dates? Special pastries? Such little gifts get you in the mood for Christmas: Soon will be the big holiday.
We at CAcert have already started writing our Christmas wish list:
a bit of PHP code
two more pixies for the software team
two software testers
an elf to take care of the bugs
an accountant
But we are also very busy working, because we want to be able to give presents. What exactly? Well, you can’t ask that before Christmas!
From September onwards, HTTPS certificates may only be issued for a maximum of one year.
Reading time: 1 min.
CAcert will adapt the free certificates
The maximum validity of certificates for proof of identity on the web will be further reduced – in the next step to one year. Although a vote on this issue in the CA/Browser Forum failed in September due to resistance from the certification authorities, it is still being discussed. But in March Apple came forward and declared that Safari will only accept certificates issued after September 1, 2020 if they are not valid for more than one year.
Now Mozilla and Google are following suit and creating facts. In the past, terms of 5 years were not unusual. Currently, certificates may still be issued for 2 years (more precisely: 825 days — i.e. plus some grace period). With the renewed tightening, Chrome, for example, delivers an ERR_CERT_VALIDITY_TOO_LONG if a certificate was issued after September 1, 2020 and is valid for more than 398 days.
Revocation broken
The main reason for the constant shortening of the certificate lifetime is the fact that there is no generally functioning revocation mechanism by which a certificate could be revoked. Revocation lists (CRLs) and the Online Certificate Status Protocol (OCSP) have proven to be unsuitable and are now switched off by default.
The browser manufacturers still maintain their own internal revocation lists, which they can use to react to acute incidents. But this is a quasi manual procedure that can only cover significant problem cases. Ultimately, the browser manufacturers are now focusing on damage limitation: if, for example, the secret key of a certificate is stolen, an expiration date that is approaching as soon as possible should solve the problem.
No need for action for users
Lets Encrypt, which meanwhile dominates the market, is the pioneer and only issues certificates for 3 months anyway. Renewal is then automated via ACME. According to Mozilla, however, the other certification authorities have also agreed to only issue certificates for 398 days from September 1. In view of the demonstration of power of the browser manufacturers, they probably don’t have much choice.
As a web site operator, you don’t have to do anything else – even if you still have a certificate with a longer validity in operation. The new rule only applies to certificates issued after September 1, 2020.
À partir de septembre, les certificats HTTPS ne peuvent être délivrés que pour une durée maximale d’un an.
CAcert adaptera ses certificats
Temps de lecture: 1 min.
La validité maximale des certificats pour la preuve d’identité sur le Web est encore réduite – dans l’étape suivante à un an. Un vote à ce sujet au sein du CA/Browser Forum en septembre a échoué en raison de la résistance des autorités de certification. Mais en mars, Apple s’est manifesté et a déclaré que Safari n’acceptera les certificats émis après le 1er septembre 2020 que s’ils ne sont pas valables plus d’un an.
Aujourd’hui, Mozilla et Google suivent le mouvement et créent des faits. Dans le passé, des mandats de 5 ans n’étaient pas inhabituels. Actuellement, les certificats peuvent encore être délivrés pour 2 ans (plus précisément : 825 jours — c’est-à-dire plus un certain délai de grâce). Avec le nouveau resserrement, Chrome, par exemple, délivre un ERR_CERT_VALIDITY_TOO_LONG si un certificat a été délivré après le 1er septembre 2020 et est valable plus de 398 jours.
Révocation cassée
La principale raison de la réduction constante de la durée de vie des certificats est le fait qu’il n’existe pas de mécanisme de révocation généralement opérationnel permettant de révoquer un certificat. Les listes de révocation (CRL) et le protocole OCSP (Online Certificate Status Protocol) se sont révélés inadaptés et sont désormais désactivés par défaut.
Les fabricants de navigateurs tiennent toujours leurs propres listes de révocation internes, qu’ils peuvent utiliser pour réagir à des incidents graves. Mais il s’agit d’une procédure quasi manuelle qui ne peut couvrir que les cas problématiques importants. En fin de compte, les fabricants de navigateurs se concentrent maintenant sur la limitation des dommages: si, par exemple, la clé secrète d’un certificat est volée, une date d’expiration qui approche le plus tôt possible devrait résoudre le problème.
Pas de nécessité d’action pour les utilisateurs
Lets Encrypt, qui domine entre-temps le marché, est le pionnier et ne délivre de toute façon des certificats que pour 3 mois. Le renouvellement est ensuite automatisé via ACME. Selon Mozilla, cependant, les autres autorités de certification ont également accepté de ne délivrer des certificats que pour 398 jours à partir du 1er septembre. Compte tenu de la démonstration de puissance des fabricants de navigateurs, ils n’ont probablement pas beaucoup de choix.
En tant qu’exploitant de site web, vous n’avez rien d’autre à faire – même si vous disposez toujours d’un certificat d’une durée de validité plus longue en service. La nouvelle règle ne s’applique qu’aux certificats délivrés après le 1er septembre 2020.
CAcert Event in Staffordshire – 11th Feb 2020, 7pm
Good news: There will be a CAcert event in the United Kingdom!
The CAcert event will be on the 11th February 2020. The main talk will begin at 7pm, the doors will be open for earlier arrivals from 6pm onwards.
The CAcert Event will be at the StaffsLUG Workshop, Internet Central, Innovation Centre, Keele Science Park, ST5 5NB, Newcastle-under-Lyme/Stoke-on-Trent, which you can find details (and maps of) of at this URL: https://staffslug.org.uk/events/
All users of any OS are welcome to come along! Disregard the fact that StaffsLUG are helping to host it!
An introduction to CAcert from one of their UK volunteers Alex.
We’ll also cover SSL in general for anyone unfamiliar.
Time for assurances (for free certificates with CAcert, you’ll need this), to participate in this you’ll need to bring some form of ID as mentioned here (e.g. Passport and Driving License).
We’re being joined by people from CAcert and existing users of CAcert who’ll be able to help issue points during the assurance part.
If anyone has any further thoughts about things we should be considering for the event and/or things you like to see covered. Let us know! For the latest details, see our UK mailing list: https://lists.cacert.org/wws/info/cacert-uk
