Warum Browser die Website von CAcert.org als nicht korrekt konfiguriert melden

Angenommen, Sie sind noch kein Mitglied der CAcert-Gemeinschaft, aber Sie möchten sich anmelden und ein Konto bei CAcert eröffnen. Sie besuchen also die Website www.cacert.org, die sich als http://www.cacert.org öffnet, also mit einer ungeschützten, unverschlüsselten Verbindung.

Danach wollen Sie Ihr Konto erstellen. Also gehen Sie zum Menüpunkt "Beitreten". Ihre Verbindung wechselt in diesem Moment zu gesichert/sicheres HTTP (verschlüsselte Verbindung). Der Browser warnt Sie lautstark:

Was ist der Grund für diese Warnung?

Zunächst muss man sagen: Diese Warnung ist zumindest für Firefox, Opera und Safari irreführend. Die Website www.cacert.org ist' sicher; sie ist nicht' falsch konfiguriert; die Login-Daten sind nicht beschädigt; und das Zertifikat des Webs ist nicht ungültig. Sie können sich der Wahrheit nähern (bei Firefox), nachdem Sie "Erweitert" gedrückt haben, und Sie können lesen: "...ungültiges Sicherheitszertifikat". Alles klar; und warum? Denn "...der Zertifikatsaussteller ist unbekannt"!

weil der CAcert-Zertifizierungsstelle nicht vertraut wird, die der Website www.cacert.org ihr Zertifikat ausgestellt hat. Ein Grund dafür ist, dass der Browser das Stammzertifikat der CA nicht kennt oder ihm nicht traut.

Sie haben noch keine CAcert Stammzertifikat installiert. Mit anderen Worten, Sie haben sich noch nicht entschieden, der CAcert Zertifizierungsstelle zu vertrauen. Sie müssen auf der Website www.cacert.org unter dem Menüpunkt "Stammzertifikate" die öffentlichen Stammzertifikat von CAcert, d.h. "PKI Class 1 Key" (das Haupt-Stammzertifikat und "PKI Class 3 Key" (das Zwischen-Stammzertifikat) installieren. Wenn Ihr Browser (wie Firefox) Sie explizit um Vertrauen in das Stammzertifikat bittet, setzen Sie es.

[Hinweis: Das Zertifikat wurde in meinem Beispiel installiert, nur das Vertrauen wurde aufgehoben. Unklare Fehlermeldungen werden oft absichtlich mit Sicherheitswarnungen gemeldet; Sätze wie "falsche Konfiguration" oder "beschädigte Login-Daten" sind jedoch ziemlich starker Kaffee.]

Bei anderen Websites müssen keine Stammzertifikate installiert werden, aber eine solche Warnung wird nicht gezeigt!

Der Grund dafür ist, dass die Stammzertifikate einiger CAs in Ihrem verwendeten Browser oder Betriebssystem vorinstalliert sind. Die Anbieter von OS/Browser haben in der Tat für Sie entschieden, dass Sie blind ALLEN Webseiten vertrauen welche Zertifikaten verwenden, die von diesen "privilegierten" Zertifizierungsstellen ausgestellt wurden; und CAcert ist nicht eine von denen. Mehr zu diesem Thema lesen Sie im Artikel Wofür ist das?

Wenn Sie wissen wollen, welche CAs die "Privilegierten" sind, schauen Sie in das Repository der "Trusted Certificate Authorities". Jeder Browser sollte diese Möglichkeit bieten; die Pfade in den meistgenutzten Browsern folgen:

Man sieht dort (mit Überraschung) CA, denen man blind vertraut, ohne es zu wissen.

Ich habe die Wurzelzertifikate von CAcert installiert und der Browser beschwert sich immer noch, warum ?

Sie können verschiedene Fehlermeldungen sehen, wie:

Der Grund dafür ist, dass das Haupt-Stamm-CAcert-Zertifikat (veröffentlicht auf der CAcert-Website) mit dem MD-5-Algorithmus selbstsigniert ist, der nicht mehr als sicher gilt. Wenn Sie jedoch der CAcert CA vertrauen, vertrauen Sie ihrem öffentlichen Schlüssel, der im Haupt-Stamm-Zertifikat enthalten ist. Es ist überhaupt nicht entscheidend, mit welchem Algorithmus er signiert ist. Leider nehmen Browser es flach und verlangen, dass alle Zertifikate, einschließlich des Haupt-Stamm-Zertifikats, mit dem robusteren Algorithmus, z.B. SHA256, signiert wurden!

Ersetzen Sie also das Root Class 1-Zertifikat durch das SHA256-signierte, das Sie von der Wiki-Seite FAQ herunterladen können. Suchen Sie nach "SHA256"! Hier ist die Vorgehensweise.

Beachten Sie auch, dass der Firefox-Browser sein eigenes Repository hat. Sie können Firefox jedoch so einstellen, dass er auch CA-Root-Zertifikate aus dem System-Repository von Windows liest.
Sie finden diese Einstellung auf der Firefox-Seite about:config als security.enterprise_roots.enabled. Sie müssen es auf true setzen.