česky - English - deutsch - nederalnds - français - español - Русский
Class3 Subroot Re-sign - Presse Mitteilung (Deutsch)
CAcert-Presseinformation
(german version, english read below)
04.06.2011
Neue Signaturen für CAcert-Class 3-Subroot-Zertifikat - Änderungen für Nutzer von CAcert-Zertifikaten
CAcert signiert sein Class 3-Subroot-Zertifikat am xx. Juni neu mit einer SHA256-Signatur. Die bisherige von CAcert genutzte MD5-Signatur wird von Mozilla als nicht mehr sicher angesehen. Mozilla wird deshalb MD5-signierte Class 3-Subroot- und End-Zertifikate nach dem 30. Juni nicht mehr unterstützten. Benutzer von Firefox und Thunderbird können nach diesem Tag einen Fehler beim Prüfen MD5-signierter Zertifikate erhalten.
Webmaster wie Webbenutzer müssen daher, wenn sie das Class 3-Subroot- Zertifikat verwenden, dieses neu von der CAcert-Webseite www.cacert.org herunterladen und installieren. Gleiches ist erforderlich bei Verwendung der Class 3-Zertifikate für sichere E-Mail-Kommunikation, zur Code- Signierung oder zum Unterzeichnen von Dokumenten.
Der Ablauf in Kurzform:
Den neuen Class 3 PKI Key von http://www.cacert.org/index.php?id=3 herunterladen
- Je nach Anforderung entweder direkt im Browser bzw. anderen, benutzten Programmen installieren oder in das SSL-Konfigurationsverzeichnis des Webservers ablegen. Für Apache zum Beispiel: /etc/apache2/ssl/class3.crt (PEM-Format)
- Den SHA1-Fingerabdruck des heruntergeladenen Zertifikats prüfen:
AD:7C:3F:64:FC:44:39:FE:F4:E9:0B:E8:F4:7C:6C:FA:8A:AD:FD:CE
- Beispiel Kommandozeile:
- openssl x509 -fingerprint -noout -in class3.crt
- Oder im Web-Browser Anzeige des Fingerprints beim Zertifikatsimport
- Webmaster erzeugen dann den erforderlichen Hash mit c_rehash oder ähnlichen Programmen neu
Durch den nun verwendeten SHA256-Hash investiert CAcert weiter in ein sicheres Internet. Weitere Informationen befinden sich im CAcert-Wiki auf der Seite https://wiki.cacert.org/FAQ/Class3Resign.