Let’s Encrypt stellt das erste Zertifikat aus
Heute hat Let’s Encrypt einen neuen Meilenstein passiert: Seit heute ist das erste ausgestellte Zertifikat in der freien Wildbahn in Verwendung. Let’s Encrypt ist eine neue und kostenfreie Zertifizierungsstelle für Zertifikate zum Aufbau sicherer Verbindungen mit Webseiten. Um Besuchern verschlüsselte HTTPS-Verbindungen zu ermöglichen, werden hierzu Zertifikate benötigt. Normalerweise kosten diese je nach Anbieter eine stolze Summe, aber Let’s Encrypt hat sich zum Ziel gesetzt, kostenfreie, sichere und leicht ausstellbare Zertifikate für die Öffentlichkeit bereitzustellen – und dies möglichst einfach und automatisiert. Sponsoren wie Mozilla, Cisco, Akamai, EFF, Automattic und IdenTrust sind ebenfalls an Bord und unterstützen das Vorhaben.
Es gibt aber noch einen kleinen Haken: Das aktuelle Stammzertifikat von Let’s Encrypt ist noch nicht in allen gängigen Browsern oder Betriebssystemen integriert, daher zeigen die Browser aktuell die mit Let’s Encrypt-Zertifikaten verschlüsselten Webseiten noch als unsicher an. Um aber später als vertrauenswürdige Zertifizierungsstelle zu gelten, wurden deshalb bereits Anträge bei Mozilla, Google, Microsoft und Apple eingereicht, und laut dem Zeitplan sollte dies schon bald der Fall sein. Bislang müssen die Benutzer noch das Stammzertifikat manuell am Rechner als vertrauenswürdig hinzufügen.
Webseitenbetreiber und Domainbesitzer, die bereits großes Interesse an Let’s Encrypt haben, können sich bereits über ein Google-Formular bei einem Beta-Programm anmelden, um bereits in den nächsten Monaten Zertifikate für die eingetragenen Domains zu erhalten.
(Quelle: letsencrypt.org Blog)
Beitrag von Patrik Kernstock, auch auf Twitter zu finden.
Wird geladen ...
Ist es mit diesem Zertifikat auch möglich seine Synology DiskStation zu verifizieren? DS file und HTTPS mit WindowsPhone geht, meines Wissens nach, leider nur vernünftig mit einem gültigen Zertifikat.
Wie ulkig, dass Mozilla einer der Sponsoren ist und dennoch ein Antrag gestellt werden muss – genial wäre ja, wenn dieser auch noch abgelehnt werden würde >.<
@Dominik: Ich denke du brauchst eine Domain für deine Diskstation.
Eine weitere Zertifizierungsstelle in/aus den USA.
Na wenn das keine Sicherheit verspricht, was dann 🙂
@Perry3D: Die hab ich, incl. DynDNS auf meine DiskStation. Ich komm auch von einem Android gerät darauf mit HTTPS, allerdings verweigert WP ohne gültiges Zertifikat die Verbindung.
@Dominik: Wenn du Zugriff auf DNS oder die .wll-known URLS hast: Gar kein Problem.
Über StartSSL kannst du bereits jetzt manuell eines beantragen. Neu ist das „kostenlos“ also nicht.
@muellerlukas; Danke für die Info, werd ich mir mal anschauen.
@Dominik: Kann man auf dem WP Zertifizierungstellen nachinstallieren? Wenn ja, dann könntest du Let’s Encrypt verwenden oder deine eigene CA erstellen.
@Perry3D: das hatte ich mal probiert. Hat aber nicht geklappt. Es gibt eine Anleitung von Synology die aber nicht wirklich funktioniert. Soweit ich gelesen habe, geht ein selbst unterzeichnetes Zertifikat nicht. Hoffe es wird mit WP10 besser/einfacher.
Es gibt doch hunderte von CAs und auch beliebig viele freie, was macht diese denn erwähnenswert?
Nutze momentan auch StartSSL, allerdings ist dort (meines Wissens nach) nur eine Domain / Subdomain möglich. Hier kann ich nun eine weitere Subdomain zertifizieren 🙂
@Dominik: Synology SSL Zertifikat hab ich hiermit geschafft, läuft reibungslos!
https://www.youtube.com/watch?v=fIJqppzwZC0
@caphp: Was ist daran denn unsicher?
StartSSL ist nur für nicht kommerzielle Webseiten, daher nicht für jeden eine Alternative.
Es wird sogar geschrieben, dass man zu einem späteren Zeitpunkt auch Wildcard Zertifikate unterstützen möchte. Das hört sich für mich nach einem guten Plan an.
@grimsal: Class 1 (also die kostenfreie Variante) verbietet die Nutzung für kommerzielle Seiten – bei Class 2 hingegen (60 Dollar pro Jahr glaub ich?) ist es erlaubt 😉
@Metty: Danke für die Info, werds ausprobieren.
Wollten die bei Let’s Encrypt das Problem mit dem Vertrauen nicht in der Übergangsphase dadurch beheben, es von einer gültigen CA Crosssignieren zu lassen?
Oder soll das erst in der Produktivphase kommen?
Der Unterschied ist, dass jeder Hinz und Kunz nun vollautomatisiert ein kostenloses Zertifikat erhält. Also auch jeder Phisher und Cyberkriminelle, der krimineller Weise die entsprechende Passage im Subscriber Agreement ignoriert. Damit ist ein Schloss und https quasi nichts mehr wert, man kann darauf zukünftig nicht mehr vertrauen. Es ist dann alles verschlüsselt, aber mit wem, wer weiss. Versichert wird eine Fehlausstellung natürlich auch nicht, woher auch. Man kann maximal noch mit EV sicher sein, hoffen wir mal, dass bis dato auch alle Nichttechniker das verstanden haben.
@Negecy Das ist quatsch, denn bereits jetzt schon nicht anders. Siehe StartSSL und andere CAs. Auch wenn hier mitunter noch manuelle Prüfung stattfindet, bei Class1 Zertifikaten winken die meisten Robots binnen 15min jedes Zertifikat durch. Sehen wir tagtäglich im Hosting Betrieb und viele Kunden verlassen sich inzwischen darauf, obwohl wir sie anders beraten (Class 1 Zertifikate nicht für kommerziellen Betrieb zu nutzen). Aber Automatisierung und kurze Ausstellungszeit locken eben die meisten Firmen. Das Problem, dass eine verschlüsselte Verbindung nicht gleichzeitig auch bedeutet, dass der Endpunkt der ist mit dem du überhaupt sprechen möchtest, ist ein ganz anderes Problem. Die Verifikation, dass ich auf abc.de bin, kann nur durch den Benutzer/Hirn oder Mechanismen wie DNSSEC und Co sichergestellt werden. Das ist aber kein Thema von SSL/TLS, sondern von Hosting, Domainhandling und (DNS-)Administration.
Aber dass nun jeder Hinz und Kunz Zertifikate ausstellen kann, ist in diesem Zusammenhang eher zu begrüßen (da wie gesagt es keinen Unterschied zu vorher macht, was Phisher etc. angeht), da dann vielleicht auch die ganzen Klein- und Kleinstwebseiten endlich mal sichere Logins und geschützte Transaktionen haben. Es gibt so endlos viele Seiten, die heute immer noch Logins, personenbezogene Daten oder ganze Shops ohne SSL betreiben, dass es nicht schön ist.
@Negecy,
ein SSL-Zertifikat war und ist nach wie vor kein Garant dass du nicht auf einer Phising-Seite gelandet bist.