Hallo,
da diese Frage immer wieder gestellt wird, nehme ich Sie einmal als erstes in den Q&A Bereich auf und muss gleich einmal etwas weiter ausholen.
Das grundlegende Problem bestand zunächst einmal darin, dass die bestehenden Auditierungsrichtlinien nicht geeignet waren um eine Community basierte CA zu auditieren (z.B. besteht ja bei einer Community CA kein Angestelltenverhältnis zwischem den einzelnen "Mitarbeitern" und der CA, Kontrollmaßnahmen sind dadurch wesentlich komplexer). Mozilla hat sich dieser Thematik vor einiger Zeit angenommen und als Alternative zum klassischen "WebTrust" Audit die Auditierung nach den "David Ross Criteria (DRC", welche die spezifischen Anforderungen einer Community CA berücksichtigen, ins Leben gerufen und als Auditierungsstandard akzeptiert.
Und genau nach diesen Kriterien wird CAcert seit einiger Zeit von einem externen Auditor auditiert. Der Vorgang ist extrem komplex aber CAcert macht in letzter Zeit große Fortschritte und konnte einen Großteil der Kritikpunkte des Auditor bereits abstellen. Trotzdem wird sich der Abschluß der Auditierung sicherlich noch bis mindestens Sommer kommenden Jahres hinziehen, danach erfolgt hoffentlich sehr schnell die Integration in die Mozilla Produkte und die sich daran orientierenden Produkte.
Aktuell ist CAcert bereits in einer Vielzahl von Linux Distributionen im Zertifikatsspeicher integriert, bei einigen Handy Herstellern und auch im Zertifikatsspeicher von Java.
Bzgl. Microsoft stellt sich die Situation etwas komplexer dar. Microsoft akzeptiert Stand heute ausschließlich "WebTrust" als Audit. Neben den unzulänglichkeiten eine Community CA damit zu auditieren kommt hinzu, dass WebTrust ausschließlich kommerziell durchgeführt wird. Die Kosten würden für CAcert ca. 150.000€ für die Erstauditierung sowie ca. 75.000€ für die jährlichen Folgeauditierungen betragen. Eine Summe die ein gemeinnütziges Projekt nicht aufbringen kann und will.
CAcert hofft jedoch, nach Abschluß der Mozialla Auditierung, dem zunehmenden Verbreitungsgrad sowie der Tatsache, dass uns einige nahmhafte Behörden und Unternehmen unterstützen, zu Microsoft gehen zu können um eventuell eine Alternative oder ein gesponsortes Audit zu erzielen.
Gruß
Jens