Die ISRG will mit Let’s Encrypt eine CA starten, die kostenlos SSL Zertifikate ausgibt, die obendrein leicht verwaltbar und verlängerbar sind.
Woran hapert es bei Zertifikaten meist?
Wenn man an SSL Verschlüsselung für Webseiten denkt, dann gehen vielen Anwendern die Alarmglocken an. Ja, man weiss, man sollte viel mehr verschlüsseln und gerade Kontaktformulare oder alles worüber Daten erhoben werden kann sowieso. Nur macht man es häufig nicht, entweder aus Bequemlichkeit, oder einfach weil man für viele dieser Anwendungsfälle einfach kein Geld ausgeben will oder kann. Häufig geht es nur darum, die elende Fehlermeldung im Browser loszuwerden, aber dafür dann auf der privat betriebenen Webseite, oder einem Testprojekt, ein öffentliches, im Browser akzeptiertes Zertifikat erwerben? In vielen Fällen gilt „NEIN“ hier als die Standardantwort.
Geht es nicht um den Preis und man hat sich durchgerungen ein Zertifikat zu beantragen, dann geht das Problem erst richtig los. Hier will eine Zertifikatsanforderung erstellt werden, für die man zuvor einen entsprechenden privaten Schlüssel auf dem Server generiert haben sollte. Hat man die Zertifikatsanforderung (CSR, also Certificate Signing Request) erstellt, dann geht es an die Anbietersuche. Hat man den passenden Anbieter gefunden, dann muss man nachweisen, dass die Domain von einem selbst rechtmässig administrativ verwaltet wird, im Regelfall über die Zusendung einer E-Mail an eine administrative Empfängeradresse (admin@, administrator@, hostmaster@, postmaster@ oder webmaster@eigenerdomain.de), diese sind durch das CA-Browser Forum vorgegeben. Alternativ kann man sich natürlich auch per Hash-Verfahren per HTTP oder CNAME-Hash authentifizieren lassen.
Wer nun noch nicht ausgestiegen ist, für den ist Let’s Crypt ohnehin nur eine nette Spielerei und der Rest der Seitenbetreiber nur Stümper! 😉
Was möchte Let’s Encrypt anders machen?
Mit Mozilla als einer der Hauptsteuerer in der Gruppe hinter Let’s Encrypt, hat man bereits einen großen Browseranbieter an Bord, der die CA mit Sicherheit im eigenen Browser wohlwollend aufnehmen wird. Grundlegend möchte Let’s Encrypt vor allem das Zertifikatshandling vereinfachen. Hierzu soll eine Zertifikatsverwaltung auf den Server eingespielt werden, die die Beantragung, sprich Schlüsselerstellung, CSR-Generierung und HASH-Verfahren automatisch durchführt und das Zertifikat dann selbständig auf dem Server einspielt und die notwendigen Konfigurationen im Webserver ebenfalls vornimmt.
Für den Benutzer ideal, man installiert einmalig eine Verwaltungssoftware und kann dann mit geringem Aufwand neue Zertifikate beschaffen und dies vor allem kostenlos, denn Let’s Encrypt will ähnlich wie es CACert versucht, die Zertifikate kostenlos anbieten. Bei CACert scheiterte es daran, dass man nicht in die Browser aufgenommen wurde, bei Let’s Encrypt sieht es hier besser aus, wenn gleich man auch dazu sagen muss, dass ein Gegenwind der bestehenden CAs im CA-Browser Forum zu erwarten sein dürfte, denn eine so elegante und kostenfreie Alternative dürfte den Wenigsten schmecken!
Was ist wenn mein Zertifikat abläuft?
Let’s Encrypt hat sich die Gedanken gemacht, die man sich von den bestehenden CAs schon lange gewünscht hat, denn auch wenn ein Zertifikat abläuft, hört die Bequemlichkeit noch lange nicht auf. Die Zertifikatsverwaltung soll zum einen die Laufzeit überwachen und zum Ende der Laufzeit automatisch ein neues Zertifikat beantragen und einspielen, so dass es zu keiner Unterbrechung im Betrieb kommt. Da Zertifikate, zumindest von Anbietern, die in den Browsern als vertrauenswürdige CAs aufgenommen wurden, eine feste Laufzeit haben müssen, kommt man hin und wieder in die unangenehme Situation, dass ein Zertifikat unbemerkt abläuft und die Webanwendung ihren Dienst aufgrund des abgelaufenen Zertifikates versagt. Mit Let’s Encrypt soll dies der Vergangenheit angehören.
Für wen ist denn Let’s Encrypt interessant?
Prinzipiell ist Let’s Encrypt primär für alle die Betreiber interessant, die als oberstes Ziel haben, die Fehlermeldung im Browser los zu werden, die so wunderschön jammert „Diese Webseite ist nicht vertrauenswürdig“. Wie es im Detail aussehen wird ist noch nicht ganz klar, es werden jedoch nur DV-Zertifikate angeboten (Domain Validation), also Zertifikate, bei denen der Domaininhaber über die oben beschriebenen „Prüfverfahren“ validiert wurde. Zertifikate die ein Unternehmen prüfen (OV) oder gar für eine grüne Leiste im Browser sorgen (EV), werden von Let’s Encrypt nicht angeboten, da man diese nicht komplett automatisieren kann.
Für einen großen Teil der kleineren Webseitenbetreiber ist Let’s Encrypt jedoch sehr interessant und könnte auch viele Betreiber dazu animieren überhaupt zu verschlüsseln. Voraussetzung dafür, das Serverbetriebsystem wird von Let’s Encrypt unterstützt und kann die Verwaltungssoftware ausführen (Python basiert und aktuell mit Unterstützung für den Apache Webserver versehen). Etwas speziellere Systeme wie viele Firewalls, Router usw. fallen hier also schonmal raus, genauso wie Windowsserver mit IIS oder Linuxserver die auf NGINX oder Lighttp setzen.
Wo bekomme ich weitere Informationen?
Let’s Encrypt hat eine englischsprachige Webseite online, auf der man bereits viele Informationen finden kann. Eine Preview der Clientsoftware ist ebenfalls verfügbar und für weitere Fragen kann man sich in die Mailingliste eintragen.
Für alle weiteren Fragen besucht also die: Let’s Encrypt Webseite