CACert est une autorité de certification (AC ou CA en anglais) chargée de délivrer des certificats "SSL" ou plus exactement X.509. L'utilisation la plus répandue de ces certificats est l'authentification et le chiffrement HTTPS.
CACert est unique en son genre car c'est la seule autorité de certification associative et non commerciale. Son mode de fonctionnement est également particulier car elle requiert de rencontrer des accréditeurs de CACert avant de pouvoir demander des certificats. Ce modèle de confiance est hybride entre celui de X.509, c'est à dire une autorité centralisée, et le modèle du réseau de confiance (Web of Trust) en usage sur OpenPGP.
Cette autorité de certification avait la confiance d'une partie des utilisateurs de logiciels libres, bien contents de voir émerger une autorité de certification à contre-courant des entreprises commerciales existantes.
Ainsi des distributions Linux comme Debian, ArchOS ou Gentoo avaient embarqué ces autorités de certifications par défaut dans leur magasin. Dans le cas de Debian le certificat était embarqué depuis 2005.
Mais suite à récente une discussion chez Debian, la communauté à décidé de supprimer le certificat racine de CACert de leur base de confiance.
-Discussions chez Debian
-Résumé en anglais des discussions
La raison principale ayant motivé ce retrait est le refus de CACert de se soumettre à un audit de sécurité, invoquant des raisons logistiques ou financières. La fondation Mozilla leur avait proposé de mener cet audit, avec à la clé, l'intégration de CACert à la liste de certificats Mozilla qui est utilisée par Firefox et Thunderbird mais aussi d'autres logiciels libres. Cette liste fait référence dans le milieu du logiciel libre et aurait permis à CACert de s'intégrer plus facile dans d'autres applications et systèmes d'exploitation.
Une autre critique porte sur le code source du système CACert, publié mais possédant des faiblesses selon certaines personnes. Enfin le dernier point porte sur l'utilisation de la racine CACert qui est soumise à acceptation d'un licence spécifique. Cela choque certains contributeurs Debian qui considèrent que l'utilisation d'un certificat racine ne devrait pas être soumis à une license spécifique.
Des contre-arguments ont été apportés au débat, comme le fait que d'autres Autorités de Certification douteuses mais commerciales étaient intégrées à Debian, mais celà n'a pas suffit à convaincre. Pour ma part je pense au contraire que cela plaide pour une plus grande rigueur dans le choix des Autorités de Confiance.
Si vous avez l'habitude d'utiliser les certificats CACert ou de visiter en HTTPS des sites qui en sont pourvus (comme ce blog), vous devrez installer vous-même le certificat, disponible ici :
CACert.org