„Ehrlicher Achmed – Gebrauchtwagen und Zertifikate“

Im digitalen Bereich ist eine Zertifizierungsstelle oder auch CA (Certification Authority), eine Organisation, die digitale Zertifikate herausgibt. Was für einen Menschen der Personalausweis ist, ist für Software das digitale Zertifikat. Es dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie sie mit ihrer eigenen digitalen Unterschrift versieht.

Die Zertifikate enthalten „Schlüssel“ und Zusatzinformationen, die zur Authentifizierung sowie zur Verschlüsselung und Entschlüsselung vertraulicher Daten dienen, die über das Internet und andere Netze verbreitet werden. Als Zusatzinformationen sind zum Beispiel Lebensdauer, Verweise auf Zertifikatsperrlisten, etc. enthalten, die durch die CA mit in das Zertifikat eingebracht werden.

Die Aufgabe einer Beglaubigungsinstitution ist es, solche digitalen Zertifikate herauszugeben und zu überprüfen. Sie ist dabei für die Bereitstellung, Zuweisung und Integritätssicherung der von ihr ausgegebenen Zertifikate verantwortlich. Damit ist sie ein wichtiger Teil der Public-Key-Infrastruktur. Wenn damit aber Schindluder getrieben wird, bzw. jeder Klitsche erlaubt wird die Dinger auszustellen, dann ist der Untergang nahe.

Nach dem Comodo-GAU gab es zwar viel Aufregung aber eine grundlegende Änderung der Vergabepraxis fand nicht statt. Nun wurde der erste ehrliche Antragssteller, der ganz offen zugibt, was er mit den Zertifikaten vor hat, leider von Mozilla abgewiesen.

Schade, denn Achmed hatte ein ebenso überzeugendes Geschäftsmodell wie viele andere Abzocker da draußen, war aber wenigsten ehrlich, was man von einem ehrlichen Gebrauchtwagenhändler wie Achmed, seinen Brüdern, Cousins und Onkeln auch erwarten sollte.

This is a request to add the CA root certificate for Honest Achmed’s Used Cars and Certificates.  The requested information as per the CA information checklist is as follows:

1. Name: Honest Achmed’s Used Cars and Certificates

3. Organizational type: Individual (Achmed, and possibly his cousin Mustafa, who knows a bit about computers).

4. Primary market /customer base: Absolutely anyone who’ll give us money.

5. Impact to Mozilla Users: Achmed’s business plan is to sell a sufficiently large number of certificates as quickly as possible in order to become too big to fail (see „regulatory capture“), at which point most of the rest of this application will become irrelevant.

Certificate Summary: The purpose of this certificate is to allow Honest Achmed to sell bucketloads of other certificates and make a lot of money.

15. Requested Trust Bits: All of them of course.  The more trust bits we get, the more certificates we can sell.

16. SSL Validation Type: All of them.  The more types, the more certificates we can sell.

CA Hierarchy information for each root certificate.

1. CA Hierarchy: Honest Achmed plans to authorise certificate issuance by at least, but not limited to, his cousin Osman, his uncles Mehmet and Iskender, and possibly his cousin’s friend Emin.

2. Sub CAs Operated by 3rd Parties: Honest Achmed’s uncles may invite some of their friends to issue certificates as well, in particular their cousins Refik and Abdi or „RA“ as they’re known. Honest Achmed’s uncles assure us that their RA can be trusted, apart from that one time when they lent them the keys to the car, but that was a one-off that won’t happen again.

Verification Policies and Practices

1. Documentation: CP, CPS, and Relying Party Agreements: Honest Achmed promises to studiously verify that payment from anyone requesting a certificate clears before issuing it (except for his uncles, who are good for credit).  Achmed guarantees that no certificate will be issued without payment having been received, as per the old latin proverb „nil certificati sine lucre“.

2. Audits: Achmed’s uncles all vouch for the fact that he’s honest.  In any case by the time he’s issued enough certificates he’ll be regarded as too big to fail by the browser vendors, so an expensive audit doesn’t really matter.

Response to Mozilla’s CA Recommended Practices: Honest Achmed promises to abide by these practices.  If he’s found not to abide by them, he’ll claim it was a one-off slip-up in procedures and that policies have been changed to ensure that it doesn’t happen again.  If it does happen again, he’ll blame it on one of his uncles or maybe his cousin, who still owes him some money for getting the car fixed.

[Quelle]