Kostenloses SSL via Let’s Encrypt

No Comments

Mit Let’s Encrypt Zertifikaten kann jeder seine Dateien kostenlos verschlüsseln. Let’s Encrypt stammt aus dem englischen, „Lasst uns verschlüsseln“ und ist eine Zertifizierungsstelle. Sie nahm Ende 2015 ihren Betrieb auf und bietet kostenlose X.509-Zertifikate speziell für TLS (Transport Layer Security) an. Dabei wird ein automatisierter Prozess eingesetzt, der die komplexen Vorgänge wie Erstellung, Signierung, Validierung, Einrichtung sowie Erneuerung der Zertifikate für die verschlüsselten Websites ersetzt.

Das Ziel von Let’s Encrypt

Ziel von Let’s Encrypt ist es, dass verschlüsselte Verbindungen im Internet zum Standard werden. Dadurch werden Webserverkonfiguration, Zahlung, Validierungs-E-Mails und die Frage von abgelaufenen Zertifikaten nicht mehr notwendig. Der Aufwand für die Einrichtung und Pflege der TLS-Verschlüsselung wird deutlich geringer. Auf einem Linux-Webserver genügen nur zwei Befehle, um in circa 30 Sekunden eine HTTPS-Verschlüsselung einzurichten und die notwendigen Zertifikate zu installieren.
Der Trend geht dahin von großen Webbrowser-Projekten, unverschlüsseltes HTTP zu verbannen und allein mit TLS zu arbeiten. Dabei ist die Verfügbarkeit von Let’s Encrypt besonders wichtig. Die Bestrebung ist, eine standardmäßige Verschlüsselung im gesamten Web durchzusetzen.

Von Let’s Encrypt werden auch Domain-Validation-Zertifikate ausgestellt.
Die Zertifizierungsstelle will sowohl ihre eigene Vertrauenswürdigkeit schützen, als auch die Angriffe und Manipulationsversuche von aussen abwehren, und trotzdem die größtmögliche Transparenz garantieren. Es gibt regelmäßige Transparenzberichte, alle ACME-Transaktionen protokolliert man öffentlich (durch Certificate Transparency) und es wird auf offene Standards und freie Software gesetzt auf die jeder kostenfrei zurückgreifen kann.

In allen Webhosting-Tarifen bei webhoster.de ist LetsEncrypt kostenlos enthalten.

Was ist Let’s Encrypt?

Let’s Encrypt ist der Dienst der gemeinnützigen ISRG – der Internet Security Research Group. Hauptsponsoren der Organisation sind bekannte Unternehmen wie: die Akamai, Electronic Frontier Foundation (EFF), Google Chrome und Cisco Systems und die Mozilla Foundation. Weitere Beteiligte daran sind IdenTrust die Zertifizierungsstelle, die University of Michigan, die Linux Foundation, die Stanford Law School sowie Stephen Kent von der Raytheon/BBN Technologies und auch Alex Polvi des CoreOS.

Technik von Let’s Encrypt

Let’s Encrypt ist in Besitz eines RSA-Stammzertifikats, das aber nicht direkt verwendet wird. Damit signiert man zwei Zwischenzertifikate, welche dann zusätzlich durch IdenTrust die Zertifizierungsstelle gegengezeichnet werden. Ein Zertifikat dient der Signierung von ausgestellten Zertifikaten, das zweite Zertifikat dient als Ersatz falls es zu Problemen mit dem ersten Zertifikat kommt. Let’s-Encrypt-Zertifikate werden auf Client-Seite in der Regel sofort und ohne weiteres akzeptiert. Let’s-Encrypt-Zertifikate sollen in Zukunft in allen Anwendungen vorinstalliert werden.

Protokoll von Let’s Encrypt

Das zur Automatisierung der Zertifizierung Verfahren wird Automated Certificate Management Environment (ACME) genannt. Es werden Anfragen an den Webserver der Domain gestellt. Passende Rückmeldungen stellen sicher, dass der Antragsteller tatsächlich diese Domain kontrolliert. Der Vorgang heißt „domain validation“.

Auf der Server-System-Seite müssen die Anfragen allerdings korrekt beantwortet werden. Dafür gibt es im Protokoll verschiedene Alterntiven. Hierfür richtet die ACME-Client-Software einen besonders konfigurierten TLS-Server ein, dieser antwortet mittels Server Name Indication auf die speziellen Anfragen der Zertifizierungsstelle mittels Server Name Indication. Der Vorgang heißt Domain Validierung. Das Verfahren gilt bei der ersten Zertifikatsausstellung einer Domain. Danach gibt es eine alternative Validierung über das bestehende Zertifikat. Bei Verlust der Kontrolle eines Zertifikats muss ein Zertifikat über einen Drittanbieter gekauft werden, um erneut ein Let’s-Encrypt-Zertifikat zu bekommen

Die Server-Implementierung bei Let’s Encrypt

a. Domainauswahldialog

Die Zertifizierungsstelle ist eine Go geschriebene Software genannt Boulder, welche die Server-Seite von dem ACME-Protokolle implementiert. Sie wird als Freeware in Quelltextform verbreitet und stellt eine REST-Programmierschnittstelle für die TLS-verschlüsselt zur Verfügung.

b. Clients

Es gibt eine Reihe unterschiedlicher Clients.

Es gibt eine von Apache-lizenzierte Python-Referenzimplementierung genannt certbot. Mittels dieser wird der Webserver des Antragstellers angefragt das Zertifikat auszustellen, dann erfolgt der Domain-Validierungsprozess, das Zertifikat wird installiert und die HTTPS-Verschlüsselung zum Schuss im Webserver eingerichtet. Später wird das Zertifikat in regelmäßigen Abständen erneuert. Nach der Installation und Annahme des Benutzervertrags reicht die Ausführung des einfachen Befehls, damit ein Zertifikat installiert wird.
Daneben gibt es noch weitere Clients. Welchen man benutzt bleibt jedem selbst überlassen. Die Verschlüsselung ist besonders bei der Übermittlung sensibler und sehr privater Daten sehr wichtig, um diese vor dem Zugriff Dritter zu schützen.

    About us and this blog

    We are a digital marketing company with a focus on helping our customers achieve great results across several key areas.

    Request a free quote

    We offer professional SEO services that help websites increase their organic search score drastically in order to compete for the highest rankings even when it comes to highly competitive keywords.

    Subscribe to our newsletter!

    More from our blog

    See all posts

    Leave a Comment