The signer has been running again since yesterday, Friday, around 13:00 CEST. We then (while we were doing other work) watched the processing for about another hour… Around 0:30 CEST all outstanding certificate requests (~3000) were processed.
Things didn’t quite go as planned in June. As soon as something cannot be done remotely – there is no remote access to critical systems for security reasons – someone who is authorised to do so has to go the data centre in the Netherlands. Despite Corona, quarantine, floods, overtime at the company and whatever else comes up. That’s maybe two hours. Then two hours home again and in between the actual work. During the opening hours of the data centre, in your free time and paying for your own train ticket or petrol. It’s not always easy to reconcile all that. On Friday afternoon, however, the time had come and the Signer has now been running smoothly again for over a day.
As can be seen from the Critical Team’s plan published yesterday, preliminary work is already underway to make the system redundant throughout and even more robust, so that failures should no longer be noticed by users, because no one is interested in such failures! We are very sorry that you had to wait so long. At the same time, we thank the small core team who have sacrificed nights and weekends over the last five weeks to get the technology back up and running for the CAcert community!
Un certificat de CAcert protège contre les dangers sur Internet. En choisissant CAcert, vous avez fait un bon choix, car ici, vous n’espérez pas simplement que le prestataire le fera déjà bien, mais en tant que membre de la communauté CAcert, vous avez toutes les possibilités: Vérifiez notre travail – ou mieux encore: coopérez vous-même, car à qui pouvez-vous faire confiance plus qu’à vous-même et à vos plus proches collaborateurs!
Malheureusement, il existe des dangers contre lesquels vous ne pouvez pas vous protéger avec nos certificats. Les inondations, par exemple, ou les virus corona. Au rez-de-chaussée du siège de CAcert Inc. à Genève, en face de la gare des Eaux Vives, se trouve un grand centre de tests et de vaccination. Ici, vous pouvez obtenir immédiatement une protection X.509 et Covid-19.
Pour que les assurances redeviennent plus faciles et que nous puissions nous rencontrer à nouveau en personne lors d’une conférence prochainement: Protégez-vous avec un masque, gardez distance et respectez l’hygiène. Et: Faites-vous vacciner! Les deux, CAcert et Covid-19 nécessitent deux rendez-vous.*
*avec des assureurs expérimentés avec au moins 25 points, sinon cela peut être plus. La protection Covid se déploie 10 jours après la deuxième vaccination.
Schützen Sie sich und Ihren Computer!
Ein Zertifikat von CAcert schützt vor Gefahren im Internet. Mit der Wahl von CAcert haben Sie eine gute Wahl getroffen, denn hier hoffen Sie nicht einfach, dass der Anbieter es hoffentlich schon gut macht, sondern Sie haben als Mitglied der CAcert-Gemeinschaft alle Möglichkeiten: Überprüfen Sie unsere Arbeit – oder noch besser: arbeiten Sie selber mit, denn wem kann man mehr vertrauen, als sich selbst und seinen engsten Mitarbeitern!
Leider gibt es Gefahren, gegen die man sich mit unseren Zertifikaten nicht schützen kann. Überschwemmungen zum Beispiel oder Coronaviren. Im Erdgeschoss des Hauptsitzes des Trägervereins CAcert Inc. in Genf befindet sich ein grosses Test- und Impfzentrum. Hier bekommen Sie gleich beides X.509 und Covid-19-Schutz.
Damit Assurances wieder einfacher werden und wir uns demnächst wieder an einer Konferenz persönlich treffen können: Schützen Sie sich mit Maske, Abstand und Hygiene. Und: Lassen Sie sich impfen! Sowohl bei CAcert als auch bei Covid-19 braucht es zwei Termine.*
*mit erfahrenen Assurern mit mindestens 25 Punkten, sonst können es mehr sein. Covid-Schutz entfaltet sich 10 Tage nach der zweiten Impfung.
Protect yourself and your computer!
A certificate from CAcert protects you from dangers on the Internet. By choosing CAcert you have made a good choice, because here you are not simply hoping that the provider will already do it well, but as a member of the CAcert community you have all the options: Check our work – or even better: work with us yourself, because who can you trust more than yourself and your closest colleagues!
Unfortunately, there are dangers against which you cannot protect yourself with our certificates. Floods, for example, or corona viruses. On the ground floor of the headquarters of CAcert Inc. in Geneva there is a large testing and vaccination centre. Here you can get both X.509 and Covid-19 protection at once.
So that assurances become easier again and we can meet again in person at a conference soon: Protect yourself with mask, distance and hygiene. And: get vaccinated! Both CAcert and Covid-19 require two appointments.*
*with experienced assurers with at least 25 points, otherwise it may be more. Covid protection unfolds 10 days after the second vaccination.
We recently reported here about a signer malfunction in our data centre in the Netherlands. Usually, our systems are redundant for such cases. This spring, the second disk was removed for repair due to an other malfunction that could not be resolved remotely. A small team of our volunteer engineers is working flat out to rebuild the server locally in Germany.
Then it can be brought to the data centre on the following Friday. If everything goes according to plan by Wednesday, the server in the Netherlands can go online on Friday.
CAcert is run exclusively by volunteers in their spare time. If you would like to help out in one way or another, we recommend subscribing to the relevant mailing lists to get in touch with the current topics and the active players.
Arbeit an neuem Signer läuft auf Hochtouren
Wir haben vor kurzem hier über eine Störung des Signers in unserem Datenzentrum in den Niederlanden berichtet. Üblicherweise sind für solche Fälle unsere Systeme redundant ausgerichtet. In diesem Frühjahr wurde die zweite Platte wegen einer anderen Störung, die sich nur per Fernwartung lösen konnte zur Reparatur entfernt.
Ein kleines Team unserer freiwilligen Ingenieure arbeitet mit Hochdruck daran, den Server lokal in Deutschland nachzubauen. Daraufhin kann er am darauffolgenden Freitag ins Rechenzentrum gebracht werden. Sollte alles bis Mittwoch nach Plan laufen, kann der Server in den Niederlanden am Freitag ins Netz gehen.
CAcert wird ausschliesslich von Freiwilligen in Ihrer Freizeit betrieben. Wenn Sie auf die eine oder andere Art mithelfen möchten, empfehlen wir, die entsprechenden Mailinglisten zu abonnieren, um so mit den aktuellen Themenkreisen und den aktiven Akteuren in Kontakt zu kommen.
Natürlich ist CAcert in erster Linie eine virtuelle Organisation. Aber der Trägerverein hat seinen Sitz an einer reellen Adresse.
Attention: Le Gouvernement de la République et Canton de Genève vous recommande vivement un confinement volontaire le mercredi 16 juin 2021 (et par conséquent de visiter CAcert virtuellement uniquement).Please note: The Government of the Republic and Canton of Geneva strongly recommend a voluntary quarantine (and consequently visit CAcert virtually only) on Wednesday 16 June 2021.
Bekanntlich ist CAcert als internationale Organisation für Sicherheit im Internet Ende letzten Jahres aus Neusüdwales nach Genf in der Schweiz umgezogen. Genf ist die internationale Stadt mit Sitz von Dutzenden internationaler Organisationen. Wenn wir am Sitz von CAcert Inc in Genf auf das Dach steigen, zeigen sich großartige Bilder: moderne Trams halten direkt vor dem neuen, von Jean Nouvel erbauten Bahnhof Genf Eaux-Vives an der internationalen Linie des Léman-Express von Savoyen in die Schweiz. Drehen wir den Kopf etwas mehr gegen Norden , liegt zwischen dem weltbekannten Springbrunnen im Genfersee und dem Betrachter der Park La Grange mit der Villa, in welcher sich in den kommenden Tagen die Präsidenten der Vereinigten Staaten und der Russischen Föderation treffen, zwar nicht um über Internetsicherheit zu debattieren, aber um die Sicherheit in der Welt. Nein, da wir uns für den Schutz der Privatsphäre einsetzen, hat es keine Web-Kamera auf dem Dach, um diese Herren zu beobachten.
CAcert welcomes John Biden and Vladimir Putin in Geneva
Of course, CAcert is first and foremost a virtual organisation. But the supporting association has its headquarters at a real address. As is well known, CAcert as an international organisation for security on the internet moved from New South Wales to Geneva in Switzerland at the end of last year. Geneva is the international city with the headquarters of dozens of international organisations. When we climb onto the roof at the headquarters of CAcert Inc in Geneva, great images appear: modern trams stop right in front of the new Geneva Eaux-Vives station built by Jean Nouvel on the international line of the Léman Express from Savoie to Switzerland. If we turn our head a little more towards the east, between the world-famous fountain in Lake Geneva and the viewer lies the park with the Villa La Grange, where the presidents of the United States and the Russian Federation will meet in the coming days, not to debate cyber security, but security in the world. No, because we are committed to privacy, it does not have a web camera on the roof to watch these gentlemen.
An on-site intervention in our datacentre will take place not later than Friday, June 18. The purpose of this intervention is to correct a defect on one of our network equipment, which lowers the redundancy of our infrastructure.
At the same time, it should allow us to diagnose and hopefully resolve without delay a transmission problem between our signing server and the rest of the infrastructure. By June 18, our members will no longer be able to renew their certificates, nor will they be able to make public the revocation of their certificates if necessary.
As always, keep in mind that CAcert is a community of volunteers. Thank you to everyone who helps us! We encourage anyone who would like to do so, or who has done so in the past and not received a response, to offer (or re-offer) their services by contacting our committee members: secretary (at-sign) cacert.org
Travaux planifiés à Ede. Une intervention sur site dans notre datacenter aura lieu le plustard le vendredi 18 juin. Elle a pour but de corriger un défaut sur un de nos équipements réseau, qui abaisse la redondance de notre infrastructure. Simultanément, elle devrait permettre de diagnostiquer et nous l’espérons résoudre sans délai, un problème de transmission entre notre signer et le reste de l’infrastructure. D’ici le 18 juin, nos membres ne seront plus capables de renouveler leurs certificats, ni de rendre publique la révocation de leurs certificats si nécessaire.
Comme toujours, gardons à l’esprit que CAcert est une communauté de bénévoles. Merci à tout ceux qui nous apportent leur aide ! Nous encourageons tous ceux qui voudraient le faire, ou qui l’ont fait par le passé et n’ont pas reçu de réponse, à proposer (ou reproposer) leurs services en contactant les membres de notre comité: secretary Arobase cacert.org
Dringende Unterhaltsarbeiten Ein Vor-Ort-Einsatz in unserem Rechenzentrum findet spätestens am Freitag, 18. Juni, statt. Der Zweck dieses Eingriffs ist die Behebung eines Defekts an einem unserer Netzwerkgeräte, der die Redundanz unserer Infrastruktur herabsetzt. Gleichzeitig sollte es uns ermöglichen, ein Übertragungsproblem zwischen unserer Signer und dem Rest der Infrastruktur zu diagnostizieren und hoffentlich ohne Verzögerung zu beheben. Bis voraussichtlich am 18. Juni können unsere Mitglieder ihre Zertifikate nicht mehr erneuern und ggf. die Sperrung ihrer Zertifikate öffentlich machen.
Wie immer sollten wir uns vor Augen halten, dass CAcert eine Gemeinschaft von Freiwilligen ist. Vielen Dank an alle, die uns helfen! Wir ermutigen alle, die dies gerne tun möchten oder dies in der Vergangenheit getan haben und keine Antwort erhalten haben, ihre Dienste anzubieten (oder erneut anzubieten), indem sie sich an unsere Vorstandsmitglieder wenden: secretary Affenschwanz cacert.org
DEUTSCH Die meisten Dienstleis-tungen von CAcert unterliegen nicht den behördlichen Pandemie-Ein-schränkungen. Support und Zerti-fikatsausstellung werden weiterhin rund um die Uhr angeboten, die gesetzlichen Mindestabstände bei weitem eingehalten.
Bei einer Assurance sind normalerweise weniger als 5 Personen anwesend und sich nur für kurze (weniger als 15 min) Zeit treffen. Wir empfehlen zu Beginn und am Ende die Hände mindestens 30s lang einzuseifen und während der ganzen Assurance eine Maske zu tragen. Wenn möglich soll eine Assurance in Freien stattfinden.
FRANÇAIS La plupart des services de CAcert ne sont pas soumis à des restrictions réglementaires en cas de pandémie. L’assistance et la délivrance de certificats continuent d’être offertes 24 heures sur 24, et les distances minimales légales sont de loin respectées.
Lors d’une accréditation, moins de 5 personnes sont généralement présentes et ne se rencontrent que pour une courte durée (moins de 15 minutes). Nous recommandons de se savonner les mains pendant au moins 30 secondes au début et à la fin et de porter un masque pendant toute la durée de l’accréditation. Si possible, une accréditation doit avoir lieu à l’extérieur.
ITALIANO La maggior parte dei servizi di CAcert non sono soggetti a restrizioni normative in caso di pandemia. Il supporto e l’emissione di certificati continuano ad essere offerti 24 ore su 24 e le distanze minime legali sono di gran lunga rispettate.
Durante un’assicurazione, di solito sono presenti meno di 5 persone e si incontrano solo per un breve periodo di tempo (meno di 15 minuti). Si consiglia di insaponare le mani per almeno 30s all’inizio e alla fine e di indossare una maschera per tutta la durata dell’assicurazione. Se possibile, l’assicurazione dovrebbe avvenire all’aperto.
ENGLISH Most of CAcert’s services are not subject to the official pandemic restrictions. Support and certificate issuance continue to be offered around the clock, and the legal minimum distances are by far adhered to.
During an assurance, usually less than 5 people are present and meet for a short (less than 15 min) time. We recommend soaping hands for at least 30s at the beginning and end and wearing a mask throughout the assurance. If possible, an assurance should take place outdoors.
ESPAGÑOL La mayoría de los servicios de CAcert no están sujetos a restricciones reglamentarias en caso de pandemia. Se sigue ofreciendo apoyo y emisión de certificados las 24 horas del día, y se respetan con mucho las distancias mínimas legales.
Durante una aseguración, normalmente están presentes menos de 5 personas y sólo se reúnen durante un corto tiempo (menos de 15 minutos). Recomendamos enjabonar las manos por lo menos 30s al principio y al final y usar una máscara durante todo el aseguración. Si es posible, una aseguración debe tener lugar al aire libre.
deutsch: Ab sofort können Zahlungen aus dem SEPA-Raum* auf das europäische Bankkonto von CAcert überwiesen werden. Für Spenden können Sie weiterhin das Bankkonto von Secure-U in Deutschland verwenden (so vermeiden wir, dass Geld sinnlos hin- und her geschoben wird, da Secure-U für uns die Server mietet); für Mitgliederbeiträge sollte jedoch das untenstehende Bankkonto in der Schweiz verwendet werden, da nur dann der Mitgliederbeitrag dem Mitglied zugeordnet werden kann. Sie finden untenstehend Name, Postleitzahl/Ort, IBAN-Kontonummer und Bank:
Payments from these countries (SEPA) are particularly easy.
italiano: A partire da ora, i pagamenti dall’area SEPA* possono essere trasferiti sul conto bancario europeo di CAcert. Per le donazioni prego di utilizzare il conto bancario Secure-U in Germania; tuttavia, per le quote associative, si deve utilizzare il conto bancario in Svizzera sotto indicato, poiché solo in tal caso la quota associativa può essere assegnata al socio. Qui di seguito trovate nome, numero postale/località, numero di conto IBAN e banca:
English: As of now, payments from the SEPA area* can be transferred to CAcert’s European bank account. For donations, the Secure-U bank account in Germany can still be used (to avoid that money is transfered twice on the same account); however, for membership fees, the bank account in Switzerland listed below should be used, as only then the membership fee can be assigned to the member. Below you will find name, postcode/town, IBAN account number and bank:
The bank is rated AA/stable by Standard&Poor. It also has a state guarantee from the state (canton) of Grisons (one of Switzerland’s 26 provinces).
Français: Dès à présent, les paiements provenant de l’espace SEPA* peuvent être transférés sur le compte bancaire européen de CAcert. Pour les dons, continuez d’utliser le compte bancaire Secure-U en Allemagne; en revanche, pour les cotisations, il convient d’utiliser le compte bancaire en Suisse indiqué ci-dessous, car ce n’est qu’alors que la cotisation peut être attribuée au membre. Vous trouverez ci-dessous le nom, le code postal/le lieu, le numéro de compte IBAN et la banque :
* SEPA Area: all 27 countries of the European Union, furthermore: Guadeloupe, French Guyana, Martinique, Réunion, Mayotte, Saint-Pierre, Miquelon, Canary Islands, Azores, Madeira, Ceuta, Melilla, United Kingdom, Gibraltar, Isle of Man, Jersey, Guernsey, Switzerland, Liechtenstein, Norway, Iceland, Monaco, San Marino, Holy Seed, Croatia, Andorra.
From September onwards, HTTPS certificates may only be issued for a maximum of one year.
Reading time: 1 min.
CAcert will adapt the free certificates
The maximum validity of certificates for proof of identity on the web will be further reduced – in the next step to one year. Although a vote on this issue in the CA/Browser Forum failed in September due to resistance from the certification authorities, it is still being discussed. But in March Apple came forward and declared that Safari will only accept certificates issued after September 1, 2020 if they are not valid for more than one year.
Now Mozilla and Google are following suit and creating facts. In the past, terms of 5 years were not unusual. Currently, certificates may still be issued for 2 years (more precisely: 825 days — i.e. plus some grace period). With the renewed tightening, Chrome, for example, delivers an ERR_CERT_VALIDITY_TOO_LONG if a certificate was issued after September 1, 2020 and is valid for more than 398 days.
Revocation broken
The main reason for the constant shortening of the certificate lifetime is the fact that there is no generally functioning revocation mechanism by which a certificate could be revoked. Revocation lists (CRLs) and the Online Certificate Status Protocol (OCSP) have proven to be unsuitable and are now switched off by default.
The browser manufacturers still maintain their own internal revocation lists, which they can use to react to acute incidents. But this is a quasi manual procedure that can only cover significant problem cases. Ultimately, the browser manufacturers are now focusing on damage limitation: if, for example, the secret key of a certificate is stolen, an expiration date that is approaching as soon as possible should solve the problem.
No need for action for users
Lets Encrypt, which meanwhile dominates the market, is the pioneer and only issues certificates for 3 months anyway. Renewal is then automated via ACME. According to Mozilla, however, the other certification authorities have also agreed to only issue certificates for 398 days from September 1. In view of the demonstration of power of the browser manufacturers, they probably don’t have much choice.
As a web site operator, you don’t have to do anything else – even if you still have a certificate with a longer validity in operation. The new rule only applies to certificates issued after September 1, 2020.
