Welkom op mijn CAcert Web of Trust pagina!
Mijn naam is Jacco de Leeuw en ik doe mee aan de Web of Trust certificatieprogramma's van CAcert en (voorheen) Thawte.
Waarmee kan ik je van dienst zijn?
In een 'Web of Trust'
stellen gebruikers onderling elkaars identiteit vast. Zelf ben ik
een (onbezoldigd) "CAcert assurer". Dat betekent dat ik je kan
'certificeren'. In het kort komt het er op neer dat ik je
identiteitsbewijs inkijk en dan je identiteit noteer op een
aanvraagformulier. Vervolgens krijg je 35 CAcert punten. Wanneer
je 50 punten of meer hebt kun je gratis CAcert certificaten op
naam aanvragen. Bij 100 CAcert punten of meer kun je zelf
ook mensen gaan certificeren. Zo'n CAcert certificaat bevat je
eigen naam en e-mail adres. Met een certificaat kun je
e-mailprogramma's als Mozilla Thunderbird, Seamonkey, Opera, Apple
Mail en Outlook (Express) gebruiken om e-mails te ondertekenen en
versleutelde e-mails te ontvangen (S/MIME). Ook sommige andere
programma's ondersteunen het gebruik van persoonlijke
certificaten. Adobe Acrobat kan persoonlijke certificaten
gebruiken om PDF documenten te ondertekenen. Sommige websites
gebruiken persoonlijke certificaten voor toegang tot afschermde
pagina's,bijvoorbeeld websites van het Amerikaanse ministerie van
Defensie en sommige banken in Oost-Europa. Ook het EAP-TLS
protocol voor toegang tot draadloze IEEE 802.1x netwerken maakt
gebruik van persoonlijke certificaten.
Het is ook mogelijk om zelf persoonlijke certificaten te maken.
Sommige bedrijven en particulieren geven in eigen beheer
certificaten uit. Het nadeel daarvan is dat deze certificaten niet
(h)erkend worden door e-mailprogramma's en besturingssystemen. Er
verschijnt dan een cryptische melding
dat het certificaat niet vertrouwd is. Het root-certificaat van
CAcert daarentegen is aanwezig in sommige e-mailprogramma's en
besturingssystemen. Het voordeel van een certificaat van CAcert is
dus dat je je e-mail kunt ondertekenen en versturen naar derden
waarbij de kans kleiner is dat deze mensen een verwarrende melding
op het scherm krijgen.
Wat is CAcert?
CAcert is een
certificatieprogramma dat vergelijkbaar is met Thawte Freemail
(sinds 16 november 2009 opgeheven). CAcert is echter een
non-profit organisatie, terwijl Thawte een commerciëel bedrijf is
(onderdeel van beveiligingsgigant VeriSign). Bij Thawte moet
betaald worden voor alle certificaten. Certificaten van CAcert
daarentegen zijn gratis, ook die voor servers. CAcert bevindt zich
nog enigszins in de startfase.
Een belangrijk verschil tussen CAcert en Thawte is dat het
root-certificaat van Thawte bekend is bij vrijwel ieder
besturingssysteem en e-mailprogramma. Bij CAcert is dit (nog) niet
het geval. Het root-certificaat bevindt zich momenteel nog niet in
de 'trusted store' van bekende programma's zoals Internet Explorer
en Mozilla Firefox. Maar er zijn Linux/Unix distributies die het
CAcert root-certificaat op eigen initiatief hebben toegevoegd.
Bovendien zijn er plannen voor een 'audit' van CAcert. Zo'n audit
kost enkele duizenden euro's en is een vereiste voor organisaties
zoals Mozilla, Microsoft en Apple. CAcert wordt hierbij gesponsord
door Stichting Oophaga.
Gebruikers zullen op dit moment dus nog een cryptische melding
krijgen dat het door CAcert uitgegeven certificaat niet op
voorhand vertrouwd kan worden. Dit zal in de toekomst veranderen,
als alles goed gaat. Tot die tijd zul je zelf het root-certificaat
van CAcert op je computer moeten installeren zodat deze
melding niet weergegeven wordt. Voor veel gebruikers is dit echter
een te technische handeling.
PGP is een van de eerste
encryptie-systemen die voor het grote publiek beschikbaar kwamen.
Anders dan het X.509 systeem dat door o.a. CAcert gebruikt wordt
is er bij PGP geen centrale 'autoriteit' die certificaten
uitdeelt. Als gebruiker bepaal je zelf wiens publieke sleutel je
vertrouwt. Op die manier bouw je een eigen Web of Trust. Dat heeft
zijn voor- en nadelen.
Voor PGP zijn meerdere programma's beschikbaar, waaronder GnuPG dat Vrije Software
is. Er is ook commerciële software beschikbaar, o.a. van PGP Inc.
Ik maak zelf ook gebruik van PGP, met name voor het ondertekenen
van Linux software (RPMs). Hier staat mijn PGP sleutel. Als je wilt
kan ik ook jouw PGP publieke sleutel ondertekenen. Mijn eigen
sleutel is door een aantal mensen ondertekend. De procedure is
vrijwel hetzelfde als bij CAcert, voor wat betreft het maken van
een afspraak en het controleren van de papieren. Een verschil is
dat je zelf zorg moet dragen voor het verspreiden van je (door mij
ondertekende) publieke sleutel, bijvoorbeeld via een keyserver.
Overigens ondersteunt CAcert ook PGP, ook al is CAcert van
origine gebaseerd op het X.509 systeem. Als je een PGP publieke
sleutel hebt kun je die uploaden naar de CAcert website. Deze kan
dan door CAcert worden ondertekend met hun eigen 'web of trust'
PGP sleutel. Ze gebruiken daarvoor twee verschillende sleutels:
een 'low
security key' voor personen die nog geen 50 punten hebben
(dus alleen het e-mail adres is gecontroleerd) en een 'high
security key' voor personen met 50 punten of meer (ook de
naam is gecontroleerd). Wanneer je deze twee sleutels importeert
kun je dus gebruik maken van het CAcert Web of Trust voor het
verifiëren van andermans PGP publieke sleutel.
In een ver verleden ondersteunde Thawte ook PGP, maar vrijwel
onmiddellijk na de overname van Thawte door Verisign is daar een
streep door gezet.
Je wilt graag een afspraak maken om gecertificeerd te worden
Dan moeten we even een plaats en een tijd afspreken. Ik heb het volgende in de aanbieding:
Eenmaal thuis log ik in op de website van CAcert en krijg je de 35 punten toegewezen. CAcert stuurt je hiervan automatisch bericht. Vervolgens kun je dan zelf op de website van CAcert inloggen en een of meerdere certificaten aanvragen.
Ik heb een redelijk uitgebreid verhaal
geschreven over dit onderwerp voor de plaatselijke computerclub.
Niet alles is meer actueel maar hopelijk heb je er iets aan!
DISCLAIMEROp last van de Koninklijke Notariële Broederschap (KNB) verklaar ik het volgende:Op geen enkele wijze wil ik met deze webpagina's suggereren dat een "Thawte Notary" een notaris is in de zin van de Wet op het Notarisambt. Wanneer u gebruik wenst te maken van de diensten van een notaris, dient u de volgende website te bezoeken: www.notaris.nl. Certificaten van Thawte en CAcert zijn GEEN "gekwalificeerde certificaten" in de zin der wet. "Gekwalificeerde certificaten" kunt u aanschaffen bij een zeer beperkt aantal providers die in het bezit zijn van een vergunning van de Nederlandse overheid. Dit ligt allemaal voor de hand, maar
kennelijk niet voor KNB-notarissen. Eén van de aanbieders
van gekwalificeerde certificaten is (herstel:
was!) DigiNotar. DigiNotar
was
opgezet
door
de
KNB
en
rekende
forse tarieven. De KNB ondervond dus concurrentie van
Thawte en CAcert die persoonlijke certificaten gratis of
tegen lage kosten verstrekken...
Voor achtergrondinformatie over de KNB en het edele notarisambt, zie de volgende webpagina's: 'Notaris uit Wolvega vergokte 1,1 miljoen uit erfenissen op drafbaan' (NRC) Notarissen hielpen bij roof Joodse goederen in de oorlog (NOS) Notaris vastgoedfraude uit beroep gezet (Metro) Hilversumse notaris uit ambt gezet (Parool) Meer notarissen onder verscherpt toezicht (Nederlands Dagblad) DigiNotar gehackt door Iraniërs: certificaten onbetrouwbaar (Webwereld) Notaris mogelijk uit ambt gezet wegens fraude en misleiding (NRC) Notarissen verhoord vanwege grote contante betalingen (Telegraaf) Notaris in Limburg verdacht van valse aktes en witwassen (NOS) 'Notarissen gepakt om fraude en witwassen' (Volkskrant) Topnotaris in de fout in Yukos-affaire (Telegraaf) Stelende notaris uit ambt gezet (Telegraaf) OM wil geheimhouding notarissen aanpakken (NOS) 'Notarissen te mild gestraft door tuchtrechter' (NU.nl) 1 op de 8 notariskantoren onder verscherpt toezicht (Financieele Dagblad) 'Notarissen faciliteren 30 criminele netwerken' (Fin. Telegraaf) Notarissen opgepakt wegens deelname criminele organisatie (Telegraaf) Steeds meer notarissen in de fout (Nova) Banken en KNB slepen notaris voor tuchtraad (Nova) 'Boete notaris wegens slecht advies echtscheiding' (Jurofoon) CDA wil parlementaire enquête criminele notarissen (Parool) Notaris veroordeeld wegens hulp plukken demente vader Studio Sport-reporter Philip Kooke Foute notaris verschuilt zich achter beroepsgeheim (Telegraaf) 'Notarissen van failliet hardhoutfonds aangepakt' (Fin. Telegraaf) Notarisklerk veroordeeld tot terugbetalen miljoen (Novocatie.nl) 'Notarissen dwarsbomen justitiëel onderzoek' (Volkskrant) 'Afrekenen met de notaris' (Zembla) 'Notarissen betrokken bij verdachte transacties Willem Endstra' (Nova) 'KNB pakt foute notarissen niet aan' (Volkskrant) 'Notarissen maken verboden financiële afspraken' (Volkskrant) 'Broederstrijd binnen KNB' (Volkskrant) KNB dwarsboomt onderzoek Consumentenbond (Trouw) 'Huizenkopers in problemen door slordige notaris' (Telegraaf) 'Notarissen betrokken bij gesjoemel belspelletjes' (Fok) 'Notaris schiet op doof echtpaar' (Fundalize) Notarissen betrokken bij faillissementsfraude (Financieele Dagblad) 'Notarissen en taxateurs R'dam werken mee aan oplichting huizenkopers' (Nova) Strenger toezicht op notarissen (NOS) Notaris 16 jaar bezig met afhandeling erfenis: honorarium loopt op (Omroep Max) www.digitale-handtekening.nl (kritiek op PKI Overheid) |