Let’s Encrypt – Zertifikate zur Verschlüsselung

https-Verschlüsselung einfach gemacht

18.04.2016

Auf nahezu jeder geschäftlich genutzten Webseite finden sich Formulare, beispielsweise zur Kontaktaufnahme oder für ein Newsletter-Abonnement. Werden die eingegebenen Daten zwischen Browser und Webserver übermittelt, müssen diese verschlüsselt werden, um eine ungewollte Kenntnisnahme durch Dritte zu verhindern. Hierfür kommt das https-Protokoll zum Einsatz. Dieses basiert auf dem Einsatz von entsprechenden Zertifikaten für die es im Internet zahlreiche Anbieter gibt.

Die Certificate Authority (CA)

Durch die Überprüfung des Webserver-Zertifikats durch den Browser kann sichergestellt werden, dass sich „auf der anderen Seite der Leitung“ tatsächlich der gewünschte Webserver befindet. Ebenso wird ausgeschlossen, dass die übertragenen Daten auf dem Weg verfälscht wurden. Zugrunde liegt dem Ganzen ein Vertrauens-Modell. Das heißt, dass jedes Verschlüsselungs-Zertifikat von einem vertrauenswürdigen Aussteller („Certificate Authority“, CA) „beglaubigt“ (signiert) werden muss. Damit ein Browser dies nun  überprüfen kann, müssen diesem die CA bekannt sein. Das wird erreicht, indem ihm die Signaturen der Zertifikate der CA bekannt gemacht werden.

Diese Liste der CA wurde für die am meisten verbreiteten Browser in der Vergangenheit um eine neue CA erweitert: Die Initiative „Let’s Encrypt“.

Automatische Erneuerung der Zertifikate

Das besondere an Let’s Encrypt ist, dass es sich erstmals nicht um ein Unternehmen mit Profitabsicht handelt, welches sich für den relativ leicht automatisierbaren Vorgang des Signierens von Zertifikaten bezahlen lässt. Vielmehr ist Let’s Encrypt ein Projekt der Internet Security Research Group (ISRG), einer US-amerikanischen gemeinnützigen Organisation.

Let’s Encrypt gibt domainvalidierte SSL-Zertifikate kostenlos und ohne Gewinnerzielungsabsicht ab. Das ist erfreulich, wäre aber nicht wirklich als Alleinstellungsmerkmal tauglich. Was Let’s Encrypt von allen anderen bislang am Markt tätigen CA unterscheidet ist der Weg, auf dem das Zertifikat auf den Webserver kommt. Dieses passiert nämlich nach der Ersteinrichtung – auf unterstützten Plattformen – vollautomatisch.

Ein Prozess, der auf dem Server läuft, auf dem auch der Webserver betrieben wird (oder darauf Zugriff hat) fordert ein Zertifikat bei Let’s Encrypt an, lädt dieses herunter und tauscht ein gegebenenfalls vorhandenes altes gegen das neue Zertifikat aus. Das Zertifikat wird also vollautomatisch auf dem Webserver installiert. Rechtzeitig zum Ablauf des Zertifikats wird der Vorgang von neuem gestartet, so dass es nicht mehr notwendig ist, die Laufzeiten der Zertifikate zu überwachen.

Neben Kosteneinsparungen durch die kostenfreien Zertifikate haben Unternehmen also weitere Einsparungen, da die Administratoren sich nicht mehr um die SSL-Zertifikate ihrer Webserver kümmern müssen.

Hohe Sicherheit durch häufige Aktualisierung

Ein Punkt, der häufig zu Kritik führt, ist die Gültigkeitsdauer der ausgegebenen Zertifikate. Sie beträgt derzeit 90 Tage. Auf den bislang üblichen Wegen der Zertifikatsvergabe und -installation neigen Administratoren dazu, möglichst lange Gültigkeitsdauern für SSL-Zertifikate zu bevorzugen. Da bei Let’s Encrypt der gesamte Bestell- und Installationsvorgang automatisiert ist, führen kürzere Gütltigkeitsdauern aber nicht mehr zu erhöhten Aufwänden. Schließlich ist ein neues Zertifikat nur „einen Klick weit entfernt“. Vor diesem Hintergrund erhöht eine kurze Gültigketsdauer die Sicherheit. Wird wirklich mal ein Zertifikat kompromittiert, so läuft es maximal 90 Tage, bis es abläuft und automatisch ersetzt wird. Vor diesem Hintergrund könnte man die Gültigkeitsdauer sogar noch reduzieren und „Let’s Encrypt“ hat genau das auch bereits für die Zukunft angekündigt.

Insgesamt ist Let’s Encrypt zum jetzigen Zeitpunkt eine für kleinere Internetauftritte sehr interessante Alternative zu den etablierten Anbietern von SSL-Zertifikaten. Sollten zukünftig auch Zertifikate mit Extended Validation ausgegeben werden (das sind die, bei denen im Browser mit grüner Adresszeile signalisiert wird, dass der Server vertrauenswürdig ist), dürfte Let’s Encrypt auch für die großen Konzerne oder für Banken interessant werden.

Möchten Sie Ihren Webserver datenschutzkonform konfigurieren? Sprechen Sie mich an!