Diskussionen

• ungethym

  +4

  Ich finde den Vorschlag ausgezeichnet. Alle genannten Vorteile kann ich unterstreichen, besonders aber die Kostenersparnis für alle Beteiligten. Zudem bietet dieser Vorschlag alle Pro-Argumente der DE-Mail, jedoch nicht die Nachteile (Kosten pro versandte E-Mail, Bindung an Monopolisten (vendor lock-in), Zusatzsoftware etc.) Alle erforderlichen Technologien sind bereichts vorhanden und müssen "nur noch" eingesetzt werden.

  3. Januar 2011 23:42 · melden

• androidian ist dafür

  +2

  Sehr gut. Wäre ein sehr wichtiger Impuls um Zertifikate sinnvoll unter die Leute und in die ASpps/Use Cases zu bekommen. Die bisherige Preisstruktur der Zertifikateanbieter hat ja noch viele Luft nach unten und behindert diese sinnvolle Zusatzsicherheit.

  12. April 2011 13:24 · melden

• msoentges ist dafür

  +2

  Hervorragende Idee - weniger Kosten für Kommunen wie München und deren Bürger, kein "Füttern" der kommerziellen SSL-Anbieter (schließlich ist ein in Browsern weit verbreitetes SSL-Root-Zertifikat wie eine Lizenz zum Gelddrucken).

  Darüber hinaus bietet CAcert eine hervorragende Identitätsprüfung der Neumitglieder durch persönliche Treffen mit mindestens 2 Assurern (4-Augen-Prinzip). Das kann/macht kein kommerzieller Anbieter, hier verläßt man sich i.d.R. auf Ausweiskopien, die u.U. auch noch schlecht kopiert oder gefaxt werden.

  Nutze CAcert seit Jahren beruflich wie privat. Sowohl für SSL-Serverzertifikate wie für E-Mail (S/MIME).

  Würde die Stadt München sich tatsächlich für CAcert entscheiden, sollte vielleicht ein Teil der Ersparnisse als Spende CAcert zugute kommen, damit CAcert soweit ausgebaut werden kann, daß CAcert künftig auch in allen Webbrowsern standardmäßig mit dem Stammzertifikat vertreten ist. Dies würde weiteren Kommunen, den Ländern und auch dem Bund erlauben, CAcert statt kommerzieller Anbieter zu nutzen und würde den Integrationsaufwand verringern, weil das CAcert Stammzertifikat nicht mehr manuell installiert werden muß (weder bei der Kommune, noch beim Bürger). Es wäre eine Win-Win-Situation.

  Im Übrigen schließe ich mich "ungethym" an - es braucht bei Verwendung von CAcert wirklich niemand einen neuen, nationalen Standard á la DE-Mail! Nur die Politik kann auf so verrückte Ideen kommen, einen vorhandenen, guten und international einheitlich funktionierenden Sicherheitsstandard (S/MIME) im Internet durch einen nationalen Alleingang ersetzen zu wollen und dies womöglich noch als Gesetzesvorschrift für den sicheren Geschäftsabschluß via E-Mail - pardon - DE-Mail festzulegen.

  16. Februar 2011 15:52 bearbeitet · Historie · melden

• jbreiteneicher ist dafür

  +1

  Klare Identitäten !

  12. März 2011 09:17 · melden

• fritz@joker-netz.de ist dafür

  +1

  Über die Vereine kann das auch mit einer Ehrenamts-Karte verknüpft werden ...

  31. Dezember 2010 13:01 · melden

  • fbrueckn

    +5

    Danke für den Kommentar und die bisherigen Bewertungen.

    In welchen Schritten könnte der Vorschlag nun umgesetzt werden ?

    1. Ein paar MitarbeiterInnen der LHM/des MOGDy-Teams könnten sich als CAcert-Pilot-Anwender für das Sammeln von Erfahrungen zur Verfügung stellen (z.B. aus dem Kreis derjenigen, die oft die Münchner OpenSourceTreffen besuchen).

    2. Die LHM könnte die CAcert-Root-Zertifikate in den Mozilla-TrustStore ihrer LiMux-Distribution aufnehmen, siehe auch hier: http://wiki.cacert.org/InclusionStatus .

    3. LHM-Administratoren mit hinreichendem Punkte-Stand könnten nun CAcert-Server-Zertifikate ausstellen.

    4. LHM-Mitarbeiter könnten sich mit CAcert-Client-Zertifikaten versorgen.

    5. Ggf. wird von der LHM eine OrganisationAssurance (http://wiki.cacert.org/OrganisationAssurance/OA/Germany/Richtlinie) durchgeführt.

    6. Wenn existierende Server- oder Client-Zertifikate abgelaufen sind, werden sie durch kostenlose CAcert-Zertifikate ersetzt.

    5. Januar 2011 12:48 bearbeitet von Julian P. · Historie · melden

• angrox ist dafür

  0

  Ich finde diesen Vorschlag ebenfalls sehr gut. Gerade die offenen Standards, die Verhinderung des Vendor lockins (wie der User ungethym schon schrieb) und die Kostenersparnis machen CACert zu einer sehr guten Methode Verschluesselung und Authentifizierung umzusetzen. Als kleinen Wehmutstropfen sehe ich allerdings, dass die User von aussen das root CA von CACert manuell in den Browser importieren muessen.

  19. Januar 2011 21:40 · melden

• micraunft ist dafür

  0

  Ich finde die kostenlose Möglichkeit einfach auf sicherem Wege zu kommunizieren wäre für die Bürger ein Vorteil. Und die Kostenersparnis für die Stadt kann auch nicht schaden. Da gibt es sicher sinnvollere Ausgabemöglichkeiten als in kommerzielle Zertifikate zu investieren.

  19. Januar 2011 16:15 · melden

• Julian P. ist dagegen

  -1

  Ich bin ehrlich: Ich halte von dem Vorschlag nicht so viel.

  CAcert hat sich als CA nie so weit durchsetzen können, dass die Root-CA sonderlich weit verbreitet wäre. Sie muss häufig explizit eingebunden und vertraut werden. Da dies auch in absehbarer Zeit nicht zu ändern sein wird (zumindest ist mit nichts gegenteiliges zu Ohren gekommen), ist das ein ganz zentraler Punkt des wirklichen Nutzens.

  Außerdem steht eine Nutzung im öffentlichen Raum der Kommune in direkter Konkurrenz zu bundeseinheitlichen Bemühungen wie dem Elektronischen Personalausweis. Da sich bei der Nutzung von Zertifikaten alles um das gegenseitige Vertrauen und vor allem darum dreht, dass man möglichst wenige, dafür aber extrem vertrauenswürdige Stellen hat, ist eine echte kommerzielle CA hier eine starke Konkurrenz. Insbesondere eine bundeseinheitliche öffentliche Unterstützung wird CAcert niemals erreichen (so leid mir das tut).

  Open Data heißt für mich auch, dass keine Insellösungen forciert werden sollten. Wenn, wie in diesem Fall, also die bundesweiten und europäischen Bemühungen in eine andere Richtung [als CAcert] zeigen, dann ist das ein starkes Argument dafür, sich eher an diesen zu orientieren.

  Was bleibt ist also eine Art Networking Veranstaltung, auf der man Leute trifft und sich nebenbei bestätigt, dass man auch von Amtswegen die Person ist, die vor einem steht. Leicht verkommt so eine Veranstaltung auch zu einer Werbeplattform für die Veranstalter, welche in der Regel in/um München ansässige Firmen sind. Ich verstehe die Bemühungen Rund um den MOGDy jedoch nicht als lokale Werbeplattform. Dafür gibt es bereits andere, regelmäßige Veranstaltungen.

  Es wäre daher nicht angemessen, wenn die Stadt hier einzelne Firmen(gruppen) dadurch unterstützte, dass unter dem Vorwand von Open Data eine Werbeplattform für die IT-Branche entstünde. Denn seien wir auch hier ehrlich: CAcert ist ein Nischenprodukt für Menschen, die sich mit IT und IT-Security auseinander setzen und sich auskennen. Der normale Bürger hat davon nichts und wird daran auch kein Interesse haben, solange es ihm nicht überragend hohe Vorteile bringt. Der neue Elektronische Personalausweis hingegen hat hierbei mehr Potential, die Kommunikation zwischen Bürger und Verwaltung zu verbessern.

  Wer sich nun noch an DE-Mail, e-Post und Konsorten erinnert fühlt: Das halte ich für eine Totgeburt, deshalb ignoriere ich das mal schlichtweg in meinem Text :-)

  5. Januar 2011 12:34 · melden

  • fbrueckn

    +2

    Danke, auch für die kritischen Kommentare, die teilweise per Mail gekommen sind.

    CAcert-Lösungen sollten natürlich nicht gegen den neuen Personalausweis antreten, sondern ergänzend. Die Nutzungsszenarien überschneiden sich auch nur zum Teil.

    Dass die CAcert-Root-CA derzeit oft explizit eingebunden werden muss stimmt. Trotzdem können diejenigen, die sich damit auskennen, in ihrem Umfeld "Vertrauensinseln" aufbauen und so zur Verbreitung beitragen. Die LHM wäre da - wie schon beim LiMux-Projekt - ein echtes Schwergewicht, würde den Inclusion-Status (siehe Link unter 2.) deutlich aufwerten und einen weiteren Schritt in Richtung OpenGovernment gehen.

    Networking-Veranstaltungen habe ich schon einige besucht. Als Werbeplattform für die Veranstalter hat sich bislang keine (auf der ich dabei war) entpuppt.

    6. Januar 2011 12:05 bearbeitet · Historie · melden

    • bab

      0

      CAcert-Root-CA-Verbreitung

      Sobald sich CAcert dem nächsten Audit stellt und dieses hoffentlich erfolgreich meistern wird, handelt es sich bei CAcert um keine "Insellösung" mehr. Die aktuelle Kritik kann ich jedoch gut nachvollziehen, da CAcert eben noch nicht soweit ist.

      Mit dem Vertrauen durch Unternehmen und Behörden, würde sich aber auch der Gedanke hinter CAcert herumsprechen. CAcert würde somit eventuell auch bei Stellen anderer Städte, Regionen und Staaten anklang finden.

      Da die Zertifikate und ihre Verwendung einem offenen Standard unterliegen, ist zumindest schon einmal ausgeschlossen, dass eine Nutzung von CAcert als CA seines Vertrauens eine Sackgasse darstellt. Einige Unternehmen setzen aus kostengründen oder aus Unkenntnis selbstgenerierte CA-Zertifikate ein, die sie dann bei der E-Mail-Korrespondenz den Partnern unterbreiten. Einen solchen Aufwand könnte man sich bei gleichzeitig überschaubaren Kosten mit CAcert ersparen.

      16. Januar 2011 11:15 · melden

      • Julian P.

        +1

        Das Problem ist doch ganz einfach:

        Ein Bürger kann heute nicht mit einem ganz normalen Rechner auf (beispielsweise) https://www.muenchen.de zugreifen, ohne dass er/sie bei Verwendung von CAcert Zertifikaten mit großer Wahrscheinlichkeit eine Sicherheitswarnung erhält. Dies wird sich - Audit hin oder her - auch in den nächsten Jahren nicht ändern. Damit wird die ernsthafte Nutzung von CAcert Zertifikaten ad absurdum geführt. Die Stadtverwaltung könnte sich womöglich vor besorgten Anfragen der Bürger, ob sie denn die Seite sorgenfrei nutzen könnten, nicht mehr retten.

        Ein kommerzielles Zertifikat kostet nun wirklich nicht die Welt. Eines mit zu CAcert vergleichbarer Sicherheit gibts für 30 Euro jährlich, so viel gibt wohl jede Kasse noch her...

        21. Januar 2011 15:02 · melden

        • Liquidizer-Chris ist dafür

          +1

          @JulianP.: Die Lizenz wird, nehme ich mal an,pro Arbeitsplatz/Rechner fällig. Außerdem kapiere ich dein Argument mit der Sicherheitswarnung nicht: Täusche ich mich da oder reicht das manuelle Aufnehmen nicht vollkommen aus?

          26. Juni 2012 21:05 · melden