ephys

Zertifikatsprobleme bei jabber.ccc.de

Seit meinem letzten Eintrag habe ich mich etwas mit Jabber beschäftigt und finde, dass dieses Instant-Messaging Protokoll großes Potential hat. Wenn man sich jedoch die aktuellen Zertifikatsprobleme bei jabber.ccc.de anschaut, dann muss man sich fragen ob Jabber wirklich schon reif für den Masseneinsatz ist.

Das Problem bei Jabber ist sicher nicht die Technik, die scheint ausgereift und stabil zu sein; ich habe eher den Eindruck, dass die Benutzerfreundlichkeit verbessert werden sollte, indem die Jabber-Community sich mehr für “Nicht-Experten” öffnet und diese als Zielgruppe wahrnimmt. Der allergrößte Teil der Computerbenutzer möchte sich nunmal nicht Ewigkeiten mit Problemen rumschlagen um ein neues Programm zum Laufen zu bringen oder Probleme zu beheben. Daran sollte die Jabber-Community noch arbeiten.

Nun aber zu den Zertifikatsproblemen: Ein großer Vorteil von Jabber ist, dass man den Verkehr mit dem Server per TLS verschlüsseln kann. Hierfür benötigt man jedoch auch auf dem lokalen Rechner ein sogenanntes Zertifikat, das den Schlüssel des Servers enthält. Als das Zertifikat von jabber.ccc.de am 25.03. durch ein neues ersetzt wurde, gab es mit einigen Jabber-Clients (ich habe die Erfahrung mit Psi gemacht) Probleme mit diesem Zertifikat. Psi benötigt es nämlich in einem anderem Format als dem bereitgestellten und so habe ich mich (wie viele andere Nutzer auch) gefragt, wie ich denn nun den Verkehr mit dem Server wieder verschlüsseln könnte. Lange Zeit kamen nur Kommentare, die mir als “Nicht-Experte” wenig halfen und eine offizielle Anleitung oder ein angepasstes Zertifikat für Psi war auch nicht zufinden. So ein Zertifikatswechsel könnte auch etwas reibungsloser ablaufen!

Aber ich möchte jetzt nicht meckern, schließlich werden die meisten Jabber-Server von Freiwilligen in ihrer Freizeit betrieben und wir alle sollten froh sein, dass sie diese Arbeit unentgeltlich für uns übernehmen. Daher möchte ich nicht nur kritisieren, sondern auch einen (hoffentlich) konstruktiven Beitrag leisten und beschreiben, wie ich die Verschlüsselung unter Psi schließlich zum Laufen gebracht habe:

  1. Class 1 und Class 3 Keys von jabber.ccc.de von cacert im PEM-Format runterladen. Dann hat man die Dateien root.crt und class3.crt
  2. Leere Textdatei erstellen, ich habe sie ccc-cert-psi.xml genannt.
  3. Diese Datei bekommt dann diesen Inhalt:

    <store>
    <certificate>
    <data>
    Hier der Inhalt von root.crt aber OHNE die Zeilen
    -----BEGIN CERTIFICATE-----
    und
    -----END CERTIFICATE-----
    </data>
    </certificate>
    <certificate>
    <data>
    Hier der Inhalt von class3.crt aber OHNE die Zeilen
    -----BEGIN CERTIFICATE-----
    und
    -----END CERTIFICATE-----
    </data>
    </certificate>
    </store>
    
  4. Nachdem ich diese Datei im certs-Verzeichnis von Psi (/usr/share/psi/certs bzw c:\program files\psi\certs ) gespeichert habe, hat sich Psi ohne zu meckern mit jabber.ccc.de verbunden.

Ich hoffe, diese Kurzanleitung funktioniert auch bei euch.