Heute Gestern abend ging es im Chaos Computer Club Köln (kurz: C4) um das Thema Nerds. Am Rande wurde ich Zeuge von einer CAcert-Authentifikation. CAcert ist ein tolles Projekt: statt teures Geld für Zertifikate von mehr oder weniger vertrauenwürdigen Firmen zu zahlen, baut CAcert auf ein ausgeklügelte soziales System auf, bei dem sich Nutzer gegenseitig authentifizieren. Das Netz als zwischenmenschliche Angelegenheit. Klasse.
Das Problem: CAcert wird derzeit mit keinem Mainstream-Browser ausgeliefert, lediglich mit einigen Linux-Distributionen. Stößt der Nutzer auf eine CAcert-zertifizierte Seite, wird ihm also eine Fehlermeldung angezeigt. Für den praktischen Nutzen der Zertifikate ist das leider kontraproduktiv: Der Normalnutzer lernt dadurch, die Fehlermeldung – die er keinesfalls versteht – wegzuklicken. Hat er sich einmal daran gewöhnt, haben Datendiebe, Viren und sonstige Betrüger freie Bahn.
Schon länger bemüht sich CAcert um eine Aufnahme in den Browser Firefox. Doch vor ein paar Wochen wurde das Ansinnen zuerst einmal zurückgewiesen, CAcert muss sich jetzt um eine komplett neues Audit kümmern. Das dauert seine Zeit. Das Ergebnis würde ich das „Nerd-Ei-Problem“ nennen. Es ist wichtig, dass die vielen freiwilligen Mitarbeiter sich fleißig im Signieren von Zertifikaten üben. Doch wenn sie die signierten Zertifikate nutzen, tun sie dem Verschlüsselungsgedanken derzeit einen Bärendienst. Darauf verzichten sollte man dennoch nicht. Schließlich kann man nicht hoffen, dass die Zertifizierer plötzlich vom Baum fallen, wenn die Mozilla Foundation das Zertifikat aufnimmt. Nur sollte man gut überlegen, wo man diese Zertifikate einsetzt.
Man stelle sich vor, CAcert wird ein Massen-Erfolg. Wie lange wird es dauern bis man seine Zertifikate nicht nur auf einer Linux-Install-Party, sondern auf einer normalen Cocktail-Party signieren lassen kann? (Und wie schmeckt eigentlich Clubmate mit Wodka?)