Als Entwickler im Windows-Umfeld, wird man immer häufiger feststellen, dass man zur Auslieferung seines Codes bei Firmenkunden den Code digital signiert haben muss. Im Windows-Umfeld müssen dies in der Regel S/MIME Zertifikate sein.
Wo bekommt man nun so ein Zertifikat her?
Man kann es teuer von einem kommerziellen Anbieter, z.B. VeriSign, StartSLL, erhalten oder kostenfrei vom OpenSource Projekt CAcert.
Was ist der Unterschied, wo sind die Schwierigkeiten?
Das Hauptproblem beim Umgang mit digitalen Zertifikaten ist "Vertrauen". Jeder Anwender muss, wenn er eine digitale Signatur hat, diesem Vertauen, so wie man es auch mit einer Unterschrift unter einem Schriftstück zu tuen hat.
Deshalb sollte man, wenn ein digitales Zertifikat bekommt ruhig einmal nachschauen, wer denn das Zertifikat ausgestellt hat, und wie der Zertifikatsgeber die Identität der Person, die das Zertifikat benutzt überprüft.
Hier bei ist zu beachten, dass wenn eine Certificate Authority (CA), ein Codesigning Zertifikat ausstellt, die Identität des Zertifikatsnutzer überprüfen muss.
Bei der Identitätsprüfung unterschieden sich dann die verschiedensten Anbieter, während bei einigen nur das Post-Identverfahren, genutzt wird, bei dem entweder der Ausweis nicht sonderlich geprüft wird oder ein Personalausweis kopiert wird, werden bei anderen mehrere Überprüfung notwendig. So sind bei dem OpenSource Projekt CAcert zum Erhalt von SSL Wildcard-Zertifikat mindesten 2 Überprüfung und zum Erhalt eines Code-Signing Zertifikats mindestens 3 Überprüfungen notwendig. CAcert baut bei seinen Überprüfungen ein sogenanntes Web of Trust auf.
Der nächste Unterschied ist, das kommerzielle Anbieter in den meisten Fällen ihren Sourcecode nicht offen legen, so dass man nicht weiß was dieser macht. Bei CAcert ist der SourceCode sowie auch die Prozesse im Netz jederzeit einseh- und überprüfbar.
Die Zertifikate bei CAcert sind kostenfrei, das sich die Gründer von CAcert zum Ziel gesetzt haben, jedem die Zertifikate kostenfrei zur Verfügung zustellen. Ein weitere Vorteil der Zertifikate von CAcert ist, dass die CA nicht in den Besitz der privaten Schlüssel kommt, da der private Schlüssel auf dem Rechner des Anwenders erstellt wird und lediglich der öffentliche Schlüssel von CAcert signiert wird. Hier kann dann auch keinber einbrechen und die privaten Schlüssel klauen.
CAcert hat allerdings auch einen Nachteil. Die Stammzertifikate von CAcert sind standardmäßig nicht in den Truststores der Browser enthalten, so dass sich die SSL-Zertifikate von CAcert zur Absicherung von Web-Seiten nur bedingt eignen. Für den gesicherten Zugang auf seine eigenen Server sind sie sehr gut gebrauchbar, für den Einsatz von Web-Seiten für die breite Öffentlichkeit nur bedingt.
Aber auch hier kommt wieder die Frage von Vertauen zum tragen. Wie kommt man in die Trusstores der Browser, in den meisten Fällen in dem man einfach Geld zahlt. CAcert arbeitet daran auch in die Truststores zu kommen, dies benötigt aber noch einige Zeit.
In der Zwischenzeit vertrauen aber immer mehr Firmen und Organisationen den Zertifikaten von CAcert. z.B. die Allianz-Firmengruppe, die Abrechnungssysteme im Europäischen Gasverbund "edigas".
Wo kann man mehr über CAcert erfahren, zum einem im Netz zum anderen auf OpenSouce-Veranstaltungen. Eine Auswahl der nächsten Veranstaltungen bei den CAcert vertreten sein wird: Chaos Communication Congress in Hamburg, die FOSDEM in Brüssel und die Chemnitzer Linux Tage.
*Topic verschoben*
Wo bekommt man nun so ein Zertifikat her?
Man kann es teuer von einem kommerziellen Anbieter, z.B. VeriSign, StartSLL, erhalten oder kostenfrei vom OpenSource Projekt CAcert.
Was ist der Unterschied, wo sind die Schwierigkeiten?
Das Hauptproblem beim Umgang mit digitalen Zertifikaten ist "Vertrauen". Jeder Anwender muss, wenn er eine digitale Signatur hat, diesem Vertauen, so wie man es auch mit einer Unterschrift unter einem Schriftstück zu tuen hat.
Deshalb sollte man, wenn ein digitales Zertifikat bekommt ruhig einmal nachschauen, wer denn das Zertifikat ausgestellt hat, und wie der Zertifikatsgeber die Identität der Person, die das Zertifikat benutzt überprüft.
Hier bei ist zu beachten, dass wenn eine Certificate Authority (CA), ein Codesigning Zertifikat ausstellt, die Identität des Zertifikatsnutzer überprüfen muss.
Bei der Identitätsprüfung unterschieden sich dann die verschiedensten Anbieter, während bei einigen nur das Post-Identverfahren, genutzt wird, bei dem entweder der Ausweis nicht sonderlich geprüft wird oder ein Personalausweis kopiert wird, werden bei anderen mehrere Überprüfung notwendig. So sind bei dem OpenSource Projekt CAcert zum Erhalt von SSL Wildcard-Zertifikat mindesten 2 Überprüfung und zum Erhalt eines Code-Signing Zertifikats mindestens 3 Überprüfungen notwendig. CAcert baut bei seinen Überprüfungen ein sogenanntes Web of Trust auf.
Der nächste Unterschied ist, das kommerzielle Anbieter in den meisten Fällen ihren Sourcecode nicht offen legen, so dass man nicht weiß was dieser macht. Bei CAcert ist der SourceCode sowie auch die Prozesse im Netz jederzeit einseh- und überprüfbar.
Die Zertifikate bei CAcert sind kostenfrei, das sich die Gründer von CAcert zum Ziel gesetzt haben, jedem die Zertifikate kostenfrei zur Verfügung zustellen. Ein weitere Vorteil der Zertifikate von CAcert ist, dass die CA nicht in den Besitz der privaten Schlüssel kommt, da der private Schlüssel auf dem Rechner des Anwenders erstellt wird und lediglich der öffentliche Schlüssel von CAcert signiert wird. Hier kann dann auch keinber einbrechen und die privaten Schlüssel klauen.
CAcert hat allerdings auch einen Nachteil. Die Stammzertifikate von CAcert sind standardmäßig nicht in den Truststores der Browser enthalten, so dass sich die SSL-Zertifikate von CAcert zur Absicherung von Web-Seiten nur bedingt eignen. Für den gesicherten Zugang auf seine eigenen Server sind sie sehr gut gebrauchbar, für den Einsatz von Web-Seiten für die breite Öffentlichkeit nur bedingt.
Aber auch hier kommt wieder die Frage von Vertauen zum tragen. Wie kommt man in die Trusstores der Browser, in den meisten Fällen in dem man einfach Geld zahlt. CAcert arbeitet daran auch in die Truststores zu kommen, dies benötigt aber noch einige Zeit.
In der Zwischenzeit vertrauen aber immer mehr Firmen und Organisationen den Zertifikaten von CAcert. z.B. die Allianz-Firmengruppe, die Abrechnungssysteme im Europäischen Gasverbund "edigas".
Wo kann man mehr über CAcert erfahren, zum einem im Netz zum anderen auf OpenSouce-Veranstaltungen. Eine Auswahl der nächsten Veranstaltungen bei den CAcert vertreten sein wird: Chaos Communication Congress in Hamburg, die FOSDEM in Brüssel und die Chemnitzer Linux Tage.
*Topic verschoben*
NB. Es ist doch schön, wenn man lesbare Namen vergibt. Siehe auch [VB.NET] Beispiele für guten und schlechten Code (Stil).
Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von „Marcus Gräfe“ ()