{"id":3921,"date":"2014-11-24T15:10:23","date_gmt":"2014-11-24T14:10:23","guid":{"rendered":"https:\/\/nodch.de\/?p=3921"},"modified":"2014-11-24T15:11:27","modified_gmt":"2014-11-24T14:11:27","slug":"lets-encrypt-will-kostenlose-im-browser-akzeptierte-ca-starten","status":"publish","type":"post","link":"https:\/\/nodch.de\/?p=3921","title":{"rendered":"Let’s Encrypt will kostenlose im Browser akzeptierte CA starten"},"content":{"rendered":"

Die ISRG will mit Let’s Encrypt eine CA starten, die kostenlos SSL Zertifikate ausgibt, die obendrein leicht verwaltbar und verl\u00e4ngerbar sind.<\/p>\n

\"Let's<\/a>
Let’s Encrypt Certificate Authority<\/figcaption><\/figure>\n

Woran hapert es bei Zertifikaten meist?<\/h3>\n

Wenn man an SSL Verschl\u00fcsselung f\u00fcr Webseiten denkt, dann gehen vielen Anwendern die Alarmglocken an. Ja, man weiss, man sollte viel mehr verschl\u00fcsseln und gerade Kontaktformulare oder alles wor\u00fcber Daten erhoben werden kann sowieso. Nur macht man es h\u00e4ufig nicht, entweder aus Bequemlichkeit, oder einfach weil man f\u00fcr viele dieser Anwendungsf\u00e4lle einfach kein Geld ausgeben will oder kann. H\u00e4ufig geht es nur darum, die elende Fehlermeldung im Browser loszuwerden, aber daf\u00fcr dann auf der privat betriebenen Webseite, oder einem Testprojekt, ein \u00f6ffentliches, im Browser akzeptiertes Zertifikat erwerben? In vielen F\u00e4llen gilt „NEIN“ hier als die Standardantwort.<\/p>\n

Geht es nicht um den Preis und man hat sich durchgerungen ein Zertifikat zu beantragen, dann geht das Problem erst richtig los. Hier will eine Zertifikatsanforderung erstellt werden, f\u00fcr die man zuvor einen entsprechenden privaten Schl\u00fcssel auf dem Server generiert haben sollte. Hat man die Zertifikatsanforderung (CSR, also Certificate Signing Request) erstellt, dann geht es an die Anbietersuche. Hat man den passenden Anbieter gefunden, dann muss man nachweisen, dass die Domain von einem selbst rechtm\u00e4ssig administrativ verwaltet wird, im Regelfall \u00fcber die Zusendung einer E-Mail an eine administrative Empf\u00e4ngeradresse (admin@, administrator@, hostmaster@, postmaster@ oder webmaster@eigenerdomain.de), diese sind durch das CA-Browser Forum vorgegeben. Alternativ kann man sich nat\u00fcrlich auch per Hash-Verfahren per HTTP oder CNAME-Hash authentifizieren lassen.<\/p>\n

Wer nun noch nicht ausgestiegen ist, f\u00fcr den ist Let’s Crypt ohnehin nur eine nette Spielerei und der Rest der Seitenbetreiber nur St\u00fcmper! \ud83d\ude09<\/p>\n

Was m\u00f6chte Let’s Encrypt anders machen?<\/h3>\n

Mit Mozilla als einer der Hauptsteuerer in der Gruppe hinter Let’s Encrypt, hat man bereits einen gro\u00dfen Browseranbieter an Bord, der die CA mit Sicherheit im eigenen Browser wohlwollend aufnehmen wird. Grundlegend m\u00f6chte Let’s Encrypt vor allem das Zertifikatshandling vereinfachen. Hierzu soll eine Zertifikatsverwaltung auf den Server eingespielt werden, die die Beantragung, sprich Schl\u00fcsselerstellung, CSR-Generierung und HASH-Verfahren automatisch durchf\u00fchrt und das Zertifikat dann selbst\u00e4ndig auf dem Server einspielt und die notwendigen Konfigurationen im Webserver ebenfalls vornimmt.<\/p>\n

F\u00fcr den Benutzer ideal, man installiert einmalig eine Verwaltungssoftware und kann dann mit geringem Aufwand neue Zertifikate beschaffen und dies vor allem kostenlos, denn Let’s Encrypt will \u00e4hnlich wie es CACert<\/a> versucht, die Zertifikate kostenlos anbieten. Bei CACert scheiterte es daran, dass man nicht in die Browser aufgenommen wurde, bei Let’s Encrypt sieht es hier besser aus, wenn gleich man auch dazu sagen muss, dass ein Gegenwind der bestehenden CAs im CA-Browser Forum zu erwarten sein d\u00fcrfte, denn eine so elegante und kostenfreie Alternative d\u00fcrfte den Wenigsten schmecken!<\/p>\n

\"Let's<\/a>
Let’s Encrypt: Start Sommer 2015<\/figcaption><\/figure>\n

Was ist wenn mein Zertifikat abl\u00e4uft?<\/h3>\n

Let’s Encrypt hat sich die Gedanken gemacht, die man sich von den bestehenden CAs schon lange gew\u00fcnscht hat, denn auch wenn ein Zertifikat abl\u00e4uft, h\u00f6rt die Bequemlichkeit noch lange nicht auf. Die Zertifikatsverwaltung soll zum einen die Laufzeit \u00fcberwachen und zum Ende der Laufzeit automatisch ein neues Zertifikat beantragen und einspielen, so dass es zu keiner Unterbrechung im Betrieb kommt. Da Zertifikate, zumindest von Anbietern, die in den Browsern als vertrauensw\u00fcrdige CAs aufgenommen wurden, eine feste Laufzeit haben m\u00fcssen, kommt man hin und wieder in die unangenehme Situation, dass ein Zertifikat unbemerkt abl\u00e4uft und die Webanwendung ihren Dienst aufgrund des abgelaufenen Zertifikates versagt. Mit Let’s Encrypt soll dies der Vergangenheit angeh\u00f6ren.<\/p>\n

F\u00fcr wen ist denn Let’s Encrypt interessant?<\/h3>\n

Prinzipiell ist Let’s Encrypt prim\u00e4r f\u00fcr alle die Betreiber interessant, die als oberstes Ziel haben, die Fehlermeldung im Browser los zu werden, die so wundersch\u00f6n jammert „Diese Webseite ist nicht vertrauensw\u00fcrdig“. Wie es im Detail aussehen wird ist noch nicht ganz klar, es werden jedoch nur DV-Zertifikate angeboten (Domain Validation), also Zertifikate, bei denen der Domaininhaber \u00fcber die oben beschriebenen „Pr\u00fcfverfahren“ validiert wurde. Zertifikate die ein Unternehmen pr\u00fcfen (OV) oder gar f\u00fcr eine gr\u00fcne Leiste im Browser sorgen (EV), werden von Let’s Encrypt nicht angeboten, da man diese nicht komplett automatisieren kann.<\/p>\n

F\u00fcr einen gro\u00dfen Teil der kleineren Webseitenbetreiber ist Let’s Encrypt jedoch sehr interessant und k\u00f6nnte auch viele Betreiber dazu animieren \u00fcberhaupt zu verschl\u00fcsseln. Voraussetzung daf\u00fcr, das Serverbetriebsystem wird von Let’s Encrypt unterst\u00fctzt und kann die Verwaltungssoftware ausf\u00fchren (Python basiert und aktuell mit Unterst\u00fctzung f\u00fcr den Apache Webserver versehen). Etwas speziellere Systeme wie viele Firewalls, Router usw. fallen hier also schonmal raus, genauso wie Windowsserver mit IIS oder Linuxserver die auf NGINX oder Lighttp setzen.<\/p>\n

Wo bekomme ich weitere Informationen?<\/h3>\n

Let’s Encrypt hat eine englischsprachige Webseite online, auf der man bereits viele Informationen finden kann. Eine Preview der Clientsoftware ist ebenfalls verf\u00fcgbar und f\u00fcr weitere Fragen kann man sich in die Mailingliste eintragen.<\/p>\n

F\u00fcr alle weiteren Fragen besucht also die: Let’s Encrypt Webseite<\/a><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

Die ISRG will mit Let’s Encrypt eine CA starten, die kostenlos SSL Zertifikate ausgibt, die obendrein leicht verwaltbar und verl\u00e4ngerbar sind. Woran hapert es bei Zertifikaten meist? Wenn man an SSL Verschl\u00fcsselung f\u00fcr Webseiten denkt, dann gehen vielen Anwendern die Alarmglocken an. Ja, man weiss, man sollte viel mehr verschl\u00fcsseln und gerade Kontaktformulare oder alles […]<\/p>\n","protected":false},"author":1,"featured_media":3923,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12,4,8],"tags":[2339,2341,2340,2349,2348,2480,832,2337,2342,2345,2350,2338,1861,2343,2346,2347,2344],"class_list":["post-3921","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-entwicklungen","category-netzwelt","category-security","tag-ca","tag-ca-browser-forum","tag-certificate-authority","tag-kostenlose-zertifikate","tag-lets-encrypt","tag-security","tag-sicherheit","tag-ssl","tag-ssl-fehler","tag-ssl-zertifikat","tag-ssl-zertifikat-kostenlos","tag-tls","tag-verschlusselung","tag-zertifikat","tag-zertifikat-beantragen","tag-zertifikat-verlaengern","tag-zertifikate"],"_links":{"self":[{"href":"https:\/\/nodch.de\/index.php?rest_route=\/wp\/v2\/posts\/3921","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nodch.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/nodch.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/nodch.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nodch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3921"}],"version-history":[{"count":0,"href":"https:\/\/nodch.de\/index.php?rest_route=\/wp\/v2\/posts\/3921\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/nodch.de\/index.php?rest_route=\/wp\/v2\/media\/3923"}],"wp:attachment":[{"href":"https:\/\/nodch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3921"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nodch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3921"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nodch.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3921"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}