diff --git a/Ddca.mw b/Ddca.mw
new file mode 100644
index 00000000..b62e5211
--- /dev/null
+++ b/Ddca.mw
@@ -0,0 +1,25 @@
+Idee, wie man eine CA für Web-Server aufsetzen könnte.
+
+=Idee=
+Wir eröffnen eine CA, deren Passwort unter mehreren Leuten (z. B. 5) aufgeteilt wird. Nur alle 5 Leute zusammen können neue Zertifikate unterschreiben. Es geht nur um Webserver Zertifikate.
+
+Vorteil: Man muss "nur" das root-Zertifikat dieser CA in seinem Browser installieren und der Browser prüft das Zertifikat des Web-Servers.
+
+=Technik=
+* Die CA läuft auf einem Computer, der nicht am Internet hängt.
+* Irgendwas müssen wir uns wegen Key-Loggern oder anderen Backdoors einfallen lassen?
+** Signierungen laufen nur auf einem Rechner, der von einer speziellen CD gebooted wurde (Image muss noch gebaut werden).
+** Z. B. könnte jeder Passwortteil per ssh von dem Laptop der Passwortteilinhaber kommen. Vorher werden die pub ssh-keys der Passwortteilinhaber in das Image gespielt.
+** Ein paar Hash-Werte (Sha-1, Ripe-160, MD5, ...) des Images werden veröffentlicht.
+** variable Daten werden in einem verschlüsselten Containerfile gehalten. Der Schlüssel dazu ist auf dem Image, auch 5-fach verschlüsselt ...
+* Cool wäre ja auch gleich eine Crypto-Card ...
+
+=Policy=
+* Wer bekommt ein Zertifikat unterschrieben?
+* Gültigkeit der Zertifikate?
+* Wie oft werden CRLs erstellt?
+* Alles wird sofort veröffentlicht! D. h. Technik, Policy und Vorkommnisse.
+* Die 5 Passwortteilinhaber werden:
+** gewählt?
+** zufällig bestimmt?
+* Die 5 Passwortteilinhaber geben Ihren Teil des Passworts an jeweils eine zu bestimmende weitere Person (falls mal jemand seinen Teil vergisst).