Firma chiavi senza incontrare qualcuno
In linea di principio, puoi firmare qualsiasi chiave che desideri per qualsiasi motivo. Nessuno è lì per far rispettare nulla, ma probabilmente la gente si renderà conto dopo un po 'e non si fida di te.
Non devi mai firmare chiavi che non potresti verificare in alcun modo. La firma è un'affermazione che sei sicuro dell'identità dell'altro, ma come dovresti?
Per quanto riguarda CAcert: se sei già in grado di verificare il loro certificato di origine (per HTTP), puoi leggere le loro impronte digitali OpenPGP sul loro sito web. Se per te va bene firmare la chiave e l'impronta digitale sul sito corrisponde a quella che hai scaricato, fallo.
Se non sei sicuro del loro certificato di root, e non è incluso di default nella distribuzione, potresti voler mantenere la parte più in alto del modulo di assicurazione, che contiene le impronte digitali ( l'assicuratore è autorizzato e invitato a consegnarlo a te!). Non è ragionevole presumere che qualcuno sia in grado di manomettere il modulo di garanzia stampato dall'altro membro dal proprio sito e, allo stesso tempo, manomettere il sito Web di CAcert.
Autorità di certificazione in OpenPGP Web of Trust
CAcert è la più grande autorità di certificazione nella rete di fiducia OpenPGP, hanno una posizione molto centrale. Se firmi e ti fidi di esso (e quindi confidi nei loro metodi per firmare le altre chiavi utente di CAcert), puoi estendere la parte del web of trust di OpenPGP che puoi validare (di solito in base alle grandezze). Così facendo è praticamente come aggiungere il certificato di root al tuo browser.
Se non vuoi firmare pubblicamente la chiave, puoi utilizzare una firma locale che non verrà caricata sui server delle chiavi.
Le mie opinioni
Ho firmato e mi fido della loro chiave, perché voglio approfittare dell'enorme numero di chiavi che posso convalidare ora e potenzialmente riporre più fiducia nei metodi di affidabilità di CAcert rispetto a ciò che la maggior parte delle persone fa con i tasti di scelta di OpenPGP.