[linux-l] Wie man CAcert.org Zertifikate deinstalliert (was: Re: [linux-l-announce] [Fwd: [CAcert.org] ATE-Berlin 9. Juli 2009])

[Steffen Dettmer]

Hi,

beim Thema CAcert.org nutze ich von Zeit zu Zeit die Gelegenheit
darauf hinzuweisen, dass das meiner Meinung nach inakzeptabel ist
und zu empfehlen, CAcert.org nicht zu vertrauen. Dazu sollte man
prüfen, ob eine installierte Software ein CAcert.org CA
Zertifikat besitzt und es zu löschen oder die entsprechende
Software zu deinstallieren.

* Lutz Willek wrote on Tue, Jun 30, 2009 at 21:33 +0200:
 [...]
> Es hat sich viel getan im letzten Jahr. Eine ganze Reihe von bisher eher
> "muendlich ueberlieferten" Regeln wurden in Policies gegossen. 

da kann man ja nichts mehr hinzufügen...
na ja, wer den Fingerprint einer CA über HTTP anzeigt und zur
Installation aufruft:
* http://wiki.cacert.org/wiki/BrowserClients#MozillaFirefox
> You should click on VIEW to check the certificate. Most important
> is that you check the fingerprints of the certificate 2. They
> should match the following:
> [insecure numbers]
dem ist wohl eh nicht zu helfen...
.. dafür kann man allerdings möglicherweise von einem 12 jährigem
chinesischen Mädchen zertifiziert werden, wo gibts das sonst...

Wollen wir eine "HowTo: Remove CAcert certificates" Liste anfangen?

Ich fang gleich mal an:



Firefox 2
---------

Glücklicherweise ist CAcert.org nicht automatisch installiert,
wobei es möglicherweise Linux-Distributionen gibt, die genauer
wissen, wem die Benutzer vertrauen sollten und das Zertifikat
möglicherweise doch hinzugefügt haben.

Kurze entfernungsanleitung:
Menü:
 - Extras
 - Einstellungen
 - Verschlüsselung
 - Zertifikate anzeigen
 - Zertifizierungsstellen
 - wenn Cacert in Liste, dann anklicken, dann Löschen, OK
 - vorherigen Schritt wiederholen bis alle gelöscht sind
Achtung: sämtliche Software, denen man trauen können möchte, muß
überprüft werden, das bedeutet, beispielsweise alle Browser auf
allen Systemen (!) die man nutzt. Ich fürchte sogar, man muß das
für sämtliche Profile machen, da es ja keine Möglichkeit dre
Sperre gibt. Möglicherweise werden nach einem Update neue
Zertifikate installiert, so daß man den Prüfvorgang nach jedem
Update wiederholen sollte.

Gut wäre vielleicht auch, eine Information an das Firefox-Team zu
schicken.

Wenn jeder die Prozedur für seinen Lieblingsbrowser beschreibt,
könnte so schnell eine brauchbare Liste entstehen. Die könnte man
dann auch gut ins CAcert.org Wiki eintragen (falls da
Meinungsfreiheit herrscht).

Toll wäre auch einer Liste mit Zertifizierungstellen, die man
besser auch noch gleich löscht, wobei man Kriterien finden müßte.
Kandidaten wären: unklare Policies, Bewertung zu Änderungen an
Policies in der Vergangenheit, Reaktionen auf Fehler,
Möglichkeiten der Einklage von Schadensersatzforderungen,
Bestimmtheit der Vertragspartner, Qualität der öffentlichen
Informationsseiten, Art der Gutachten, Audits (da gibts ein
paar wirklich lustige) und Zertifizierungen.

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.