CAcert.org est une autorité de certification communautaire qui émet des certificats à clés publiques gratuits[1]. CAcert a plus de 380 000 utilisateurs vérifiés, certifie plus de 200 000 domaines et a émis plus d'un million et demi de certificats[2].
Ces certificats peuvent être utilisés pour signer numériquement et chiffrer des mails, authentifier et autoriser des utilisateurs se connectant à un site web, et sécuriser des transferts de données sur Internet. Toute application qui utilise SSL peut utiliser des certificats émis par CAcert, de même que toute application qui utilise des certificats X.509.
CAcert Inc. est une association à but non lucratif qui entretient le site CAcert.org (https://cacert.org). Enregistrée en Nouvelle-Galles du Sud (Australie) depuis sa création en juillet 2003 jusque 2022, elle est désormais située en Suisse[3]. Elle comprend des membres de tous les pays du monde et un comité directeur de sept membres[4].
CAcert signe automatiquement des certificats pour les adresses mail contrôlées par le demandeur, et pour les domaines dont certaines adresses sont contrôlées par le demandeur (comme "hostmaster@example.com). Elle agit comme un robot de certification. Ces certificats sont considérés comme faibles puisque CAcert n'émet aucune autre information dans les certificats que le nom de domaine ou l'adresse mail (le champ CommonName dans les certificats X.509).
Pour créer des certificats ayant un niveau de confiance plus élevé, les utilisateurs peuvent participer au système "web of trust" (cercle de confiance entre utilisateurs), où les utilisateurs se rencontrent physiquement et vérifient mutuellement leur identité. CAcert tient à jour le nombre de points de crédit pour chaque compte. Ces points de crédit peuvent être obtenus de plusieurs façons différentes, mais principalement en faisant vérifier son identité physiquement par d'autres utilisateurs classifiés accréditeurs.
Avoir plus de points permet aux utilisateurs d'avoir plus de privilèges, comme avoir un nom dans le certificat, ou un délai de validité plus long. Un utilisateur avec au moins 100 points est candidat à la classification accréditeur et, après avoir passé un examen[5], peut à son tour vérifier d'autres utilisateurs. Plus l'accréditeur a de points, plus il peut en donner à ceux qu'il vérifie.
CAcert organise des "rassemblements de signature", spécialement lors de gros événements comme le CeBIT ou le FOSDEM.
Depuis octobre 2005, CAcert offre des certificats racines de classe 1 et 3. La classe 3 est un sous-ensemble haute sécurité de la classe 1[6].
Les certificats émis par CAcert ne sont pas aussi utiles dans les navigateurs que ceux émis par des autorités de certification commerciales, car de nombreux navigateurs ne distribuent pas les certificats racines de CAcert. En conséquence, pour la plupart des internautes, un certificat signé par CAcert se comporte comme un certificat auto-signé. En 2004, des discussions commencèrent quant à l'inclusion des certificats racines de CAcert dans Mozilla et dérivés (comme Firefox), alors que Mozilla n'avait pas encore de politique de certificats racines. Mozilla développa cette politique, mais CAcert retira sa demande d'inclusion fin avril 2007[7]. L'organisation n'envisage pas de demander à nouveau cette inclusion dans le futur[8].
FreeBSD incluait le certificat racine, mais le retira en 2008, imitant la politique de Mozilla[9]. En 2014, il fut également retiré d'Ubuntu[10], puis de la version de test de Debian.
Les systèmes d'exploitation suivants ou distributions suivantes incluent le certificat racine de CAcert[11]: