Root-Zertifikat installieren

Webseiten mittels SSL-Verschlüsselung auszuliefern wird (nach Meinung der Browserhersteller) immer wichtiger. Ob eine Seite mit Brotrezepten oder Bastelanleitungen tatsächlich verschlüsselt übertragen werden muss ist Ansichtssache. Für andere Kommunikationsweg wie EMail oder XMPP macht die Verschlüsselung dagegen grunsätzlich Sinn.

Neben kommerziellen Zertifikaten gibt es für Webserver inzwischen auch kostenlose Zertifkate z.B. von Let's Encrypt oder schon seit Jahren von CAcert. Während Let's Encrypt von den gängigen Browsern akzeptiert wird, ist die bei Zertifikaten von CAcert nicht der Fall. Warum das eine vertrauenswürdiger sein soll als das andere bleibt aber wohl ein Geheimnis der Browserhersteller.

Für CAcert müssen die Browser mit den Root-Zertifikaten von CAcert nachgerüstet werden, was bei Firefox und co. recht einfach ist. Allerdings kann es durchaus auch erforderlich sein die Root-Zertifikate direkt ins Linuxsystem zu verankern.
Nach dem Herunterladen und vor dem Installieren sollten die Fingerprints kontrolliert werden: openssl x509 -noout -fingerprint -in cacert_root.crt bzw. cacert_class3.crt

Die erfolgt unter Debian mit (root-Rechten):
curl http://www.cacert.org/certs/root.crt -o /usr/local/share/ca-certificates/cacert_root.crt
curl http://www.cacert.org/certs/class3.crt -o /usr/local/share/ca-certificates/cacert_class3.crt
update-ca-certificates


Bei Sailfish-OS mit (root-Rechten):
curl http://www.cacert.org/certs/root.crt -o /etc/pki/ca-trust/source/anchors/cacert_root.crt
curl http://www.cacert.org/certs/class3.crt -o /etc/pki/ca-trust/source/anchors/cacert_class3.crt
update-ca-trust