CAcert.org

Учредителем и оператором CAcert является CAcert Incorporated — некоммерческая организация, основанная в австралийском штате Новый Южный Уэльс под номером INC9880170 и организованная по типу ассоциации. У компании работает совет, состоящий из семи человек. Стать членом ассоциации можно только в случае поддержки как минимум двух участников и одобрения совета.

Сертификационный центр CAcert эксплуатируется на нескольких серверах, управление которыми с августа 2013 года было передано некоммерческой организации secure-u e. V. Выпуск сертификатов осуществляется через защищённую зону сайта CAcert для пользователей.

Правила и условия использования CAcert регламентируются набором политик, среди которых главная — CAcert Community Agreement; каждый пользователь должен принять её и подтвердить при идентификации. Другие политики регулируют, в частности, процедуры подтверждения личных или организационных данных.

Для получения сертификатов вступление в ассоциацию не требуется. Пользователи CAcert организованы в сеть доверия. Каждый пользователь заводит учётную запись с указанием полного имени, даты рождения и адреса электронной почты. Помимо пароля необходимо задать пять контрольных вопросов, ответы на которые известны только пользователю. При утрате пароля для восстановления доступа требуется ответить на эти вопросы.

Каждой учётной записи присваивается уровень доверия в виде баллов (от 0 до максимум 150), отражающий степень проверки данных пользователя. Баллы можно заработать при личной идентификации другими участниками сети доверия, которые подтверждают личность пользователя для CAcert, и начисляют ему определённое количество баллов.

По состоянию на 10 сентября 2014 года было проверено около 287 000 пользователей, выпущено примерно 78 500 действующих сертификатов.

При CAcert действует арбитражная комиссия, действующая по принципу частного права. Она рассматривает обращения в случае нарушений условий использования или злоупотреблений сертификатами и имеет право назначать штрафы до 1000 евро. Арбитраж защищает пользователей CAcert от затрат на судебные разбирательства. Также через арбитраж решаются вопросы изменения или корректировки идентификационных данных. Порядок разбирательства определяется отдельной политикой.

Сразу после регистрации учётной записи можно запросить неограниченное количество сертификатов. Такие сертификаты содержат только адрес электронной почты, подтверждённый автоматическим тестовым письмом; в качестве имени указывается «CAcert WoT User». После набора как минимум 50 баллов можно выпускать персональные сертификаты с указанием имени.

Помимо стандартных сертификатов, CAcert осуществляет подпись PGP- и OpenPGP-ключей.

Можно добавить к основной учётной записи дополнительные адреса электронной почты; сертификаты могут выпускаться для каждого из них или для нескольких сразу. Они используются, например, для шифрования и подписи электронной почты и других данных, а также для аутентификации на серверах без пароля. Сайт CAcert поддерживает вход с помощью сертификата.

Начиная со 100 баллов, по запросу возможно получение сертификатов для подписания программного кода.

Серверные сертификаты подтверждают принадлежность сервера организации или физическому лицу и используются для установки защищённых соединений SSL/TLS. Серверные сертификаты CAcert предназначены для различных сервисов: HTTPS, SFTP, SMTPS, POP3S, IMAPS и др. Сертификаты CAcert по умолчанию содержат только доменное имя, без персональных или организационных данных, что позволяет использовать шифрование, но не подтверждает идентичность владельца. Для организаций предусмотрена процедура Organisation Assurance — специальная проверка идентичности уполномоченными участниками; после этого данные организации могут быть добавлены в сертификат.

У коммерческих поставщиков сертификатов процедура идентификации обычно централизована. CAcert делегирует этот процесс сети доверия: опытный пользователь, имеющий минимум 100 баллов и прошедший онлайн-тест Assurer, сверяет личность другого пользователя по официальным документам (паспорт, удостоверение личности, водительские права и др.) при личной встрече и при успешной проверке может начислить до 35 баллов через сайт CAcert. Подтверждение удостоверяется подписями обеих сторон и должно храниться Assurer не менее 7 лет; используется специальная форма (CAP-формуляр). Для набора 50 баллов необходимы как минимум два подтверждения от разных Assurer (принцип «двух контролёров»).

В качестве альтернативы действует программа Trusted Third Party (TTP), предусматривающая идентификацию доверенными третьими лицами (нотариусы, банки и т. п.). Эта схема предназначена для регионов с низкой плотностью Assurer; максимальный порог баллов через неё — 70. По состоянию на сентябрь 2013 года программа работала для США, Пуэрто-Рико, Виргинские острова и Австралия; в подготовке — для Бразилии, Норвегии, Великобритании, Новой Зеландии, Индии и ЮАР. В Германии, Австрии, Швейцарии и Нидерландах программа не действует из-за достаточного количества Assurer.

После достижения 100 баллов пользователь не может получать дополнительные баллы от других Assurer. За каждое самостоятельно проведённое подтверждение начисляется 2 балла. После подтверждения 25 человек достигается максимальный уровень — 150 баллов; дополнительные подтверждения учитываются, но не повышают баллы (возможна отмена баллов арбитражем в случае неправильной процедуры).

Баллы определяют статус пользователя/Assurer и влияют на свойства выдаваемых сертификатов:

Исключение: несовершеннолетние Assurer могут независимо от количества баллов выдавать максимум 10 баллов.

На 1 декабря 2013 года CAcert насчитывал 5700 сертифицированных Assurer и около 10 300 пользователей со статусом потенциального Assurer.

В отличие от коммерческих центров, где получение сертификата с включением имени пользователя требует оплаты, CAcert предоставляет такую услугу бесплатно. Однако в большинстве почтовых клиентов и браузеров CAcert не внесён как доверенный издатель сертификатов. Поэтому при подключении к серверу с сертификатом CAcert появляется предупреждение о невозможности проверки источника. Аналогично, электронные подписи не могут быть распознаны до ручного импорта корневых сертификатов пользователем, после чего все сертификаты CAcert считаются доверенными.

Попытки CAcert включить свой корневой сертификат в доверенные хранилища свободных программ семейства Mozilla (такие как Firefox, Thunderbird) пока что не увенчались успехом. Mozilla Foundation публично обсуждала ужесточение политики добавления новых корневых сертификатов, при этом старые CA сохранялись из практических соображений. Для включения теперь требуется аудит, охватывающий организацию, процессы и технологии; CAcert принимал участие в обсуждении критериев.

Из-за реорганизации руководства CAcert весной 2007 года, спустя около трёх с половиной лет обсуждений с Mozilla Foundation, подача заявки на включение в доверенную цепочку продуктов Mozilla была временно отложена. С тех пор продолжается работа по аудиту и повышению качества процессов.

В то же время ряд других программных продуктов и открытых дистрибутивов уже интегрировали корневой сертификат CAcert.