Let’s Encrypt stellt das erste Zertifikat aus

letsencryptHeute hat Let’s Encrypt einen neuen Meilenstein passiert: Seit heute ist das erste ausgestellte Zertifikat in der freien Wildbahn in Verwendung. Let’s Encrypt ist eine neue und kostenfreie Zertifizierungsstelle für Zertifikate zum Aufbau sicherer Verbindungen mit Webseiten. Um Besuchern verschlüsselte HTTPS-Verbindungen zu ermöglichen, werden hierzu Zertifikate benötigt. Normalerweise kosten diese je nach Anbieter eine stolze Summe, aber Let’s Encrypt hat sich zum Ziel gesetzt, kostenfreie, sichere und leicht ausstellbare Zertifikate für die Öffentlichkeit bereitzustellen – und dies möglichst einfach und automatisiert. Sponsoren wie Mozilla, Cisco, Akamai, EFF, Automattic und IdenTrust sind ebenfalls an Bord und unterstützen das Vorhaben.

2015-09-15_100119-p4yjy

Es gibt aber noch einen kleinen Haken: Das aktuelle Stammzertifikat von Let’s Encrypt ist noch nicht in allen gängigen Browsern oder Betriebssystemen integriert, daher zeigen die Browser aktuell die mit Let’s Encrypt-Zertifikaten verschlüsselten Webseiten noch als unsicher an. Um aber später als vertrauenswürdige Zertifizierungsstelle zu gelten, wurden deshalb bereits Anträge bei Mozilla, Google, Microsoft und Apple eingereicht, und laut dem Zeitplan sollte dies schon bald der Fall sein. Bislang müssen die Benutzer noch das Stammzertifikat manuell am Rechner als vertrauenswürdig hinzufügen.

2015-09-15_101449-dgw4u

Webseitenbetreiber und Domainbesitzer, die bereits großes Interesse an Let’s Encrypt haben, können sich bereits über ein Google-Formular bei einem Beta-Programm anmelden, um bereits in den nächsten Monaten Zertifikate für die eingetragenen Domains zu erhalten.

(Quelle: letsencrypt.org Blog)

Beitrag von Patrik Kernstock, auch auf Twitter zu finden.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Der Gastautor ist ein toller Autor. Denn er ist das Alter Ego derjenigen, die hier ab und zu für frischen Wind sorgen. Unregelmäßig, oftmals nur 1x. Der Gastautor eben.

27 Kommentare

  1. Ist es mit diesem Zertifikat auch möglich seine Synology DiskStation zu verifizieren? DS file und HTTPS mit WindowsPhone geht, meines Wissens nach, leider nur vernünftig mit einem gültigen Zertifikat.

  2. Wie ulkig, dass Mozilla einer der Sponsoren ist und dennoch ein Antrag gestellt werden muss – genial wäre ja, wenn dieser auch noch abgelehnt werden würde >.<

  3. @Dominik: Ich denke du brauchst eine Domain für deine Diskstation.

  4. Eine weitere Zertifizierungsstelle in/aus den USA.
    Na wenn das keine Sicherheit verspricht, was dann 🙂

  5. @Perry3D: Die hab ich, incl. DynDNS auf meine DiskStation. Ich komm auch von einem Android gerät darauf mit HTTPS, allerdings verweigert WP ohne gültiges Zertifikat die Verbindung.

  6. @Dominik: Wenn du Zugriff auf DNS oder die .wll-known URLS hast: Gar kein Problem.
    Über StartSSL kannst du bereits jetzt manuell eines beantragen. Neu ist das „kostenlos“ also nicht.

  7. @muellerlukas; Danke für die Info, werd ich mir mal anschauen.

  8. @Dominik: Kann man auf dem WP Zertifizierungstellen nachinstallieren? Wenn ja, dann könntest du Let’s Encrypt verwenden oder deine eigene CA erstellen.

  9. @Perry3D: das hatte ich mal probiert. Hat aber nicht geklappt. Es gibt eine Anleitung von Synology die aber nicht wirklich funktioniert. Soweit ich gelesen habe, geht ein selbst unterzeichnetes Zertifikat nicht. Hoffe es wird mit WP10 besser/einfacher.

  10. Es gibt doch hunderte von CAs und auch beliebig viele freie, was macht diese denn erwähnenswert?

  11. Nutze momentan auch StartSSL, allerdings ist dort (meines Wissens nach) nur eine Domain / Subdomain möglich. Hier kann ich nun eine weitere Subdomain zertifizieren 🙂

  12. @Dominik: Synology SSL Zertifikat hab ich hiermit geschafft, läuft reibungslos!

  13. @caphp: Was ist daran denn unsicher?

  14. StartSSL ist nur für nicht kommerzielle Webseiten, daher nicht für jeden eine Alternative.
    Es wird sogar geschrieben, dass man zu einem späteren Zeitpunkt auch Wildcard Zertifikate unterstützen möchte. Das hört sich für mich nach einem guten Plan an.

  15. @grimsal: Class 1 (also die kostenfreie Variante) verbietet die Nutzung für kommerzielle Seiten – bei Class 2 hingegen (60 Dollar pro Jahr glaub ich?) ist es erlaubt 😉

  16. @Metty: Danke für die Info, werds ausprobieren.

  17. Wollten die bei Let’s Encrypt das Problem mit dem Vertrauen nicht in der Übergangsphase dadurch beheben, es von einer gültigen CA Crosssignieren zu lassen?

    Oder soll das erst in der Produktivphase kommen?

  18. Der Unterschied ist, dass jeder Hinz und Kunz nun vollautomatisiert ein kostenloses Zertifikat erhält. Also auch jeder Phisher und Cyberkriminelle, der krimineller Weise die entsprechende Passage im Subscriber Agreement ignoriert. Damit ist ein Schloss und https quasi nichts mehr wert, man kann darauf zukünftig nicht mehr vertrauen. Es ist dann alles verschlüsselt, aber mit wem, wer weiss. Versichert wird eine Fehlausstellung natürlich auch nicht, woher auch. Man kann maximal noch mit EV sicher sein, hoffen wir mal, dass bis dato auch alle Nichttechniker das verstanden haben.

  19. @Negecy Das ist quatsch, denn bereits jetzt schon nicht anders. Siehe StartSSL und andere CAs. Auch wenn hier mitunter noch manuelle Prüfung stattfindet, bei Class1 Zertifikaten winken die meisten Robots binnen 15min jedes Zertifikat durch. Sehen wir tagtäglich im Hosting Betrieb und viele Kunden verlassen sich inzwischen darauf, obwohl wir sie anders beraten (Class 1 Zertifikate nicht für kommerziellen Betrieb zu nutzen). Aber Automatisierung und kurze Ausstellungszeit locken eben die meisten Firmen. Das Problem, dass eine verschlüsselte Verbindung nicht gleichzeitig auch bedeutet, dass der Endpunkt der ist mit dem du überhaupt sprechen möchtest, ist ein ganz anderes Problem. Die Verifikation, dass ich auf abc.de bin, kann nur durch den Benutzer/Hirn oder Mechanismen wie DNSSEC und Co sichergestellt werden. Das ist aber kein Thema von SSL/TLS, sondern von Hosting, Domainhandling und (DNS-)Administration.

    Aber dass nun jeder Hinz und Kunz Zertifikate ausstellen kann, ist in diesem Zusammenhang eher zu begrüßen (da wie gesagt es keinen Unterschied zu vorher macht, was Phisher etc. angeht), da dann vielleicht auch die ganzen Klein- und Kleinstwebseiten endlich mal sichere Logins und geschützte Transaktionen haben. Es gibt so endlos viele Seiten, die heute immer noch Logins, personenbezogene Daten oder ganze Shops ohne SSL betreiben, dass es nicht schön ist.

  20. @Negecy,

    ein SSL-Zertifikat war und ist nach wie vor kein Garant dass du nicht auf einer Phising-Seite gelandet bist.

  21. Ich finde diese Art der Verteilung von Zertifikaten auch unsinnig, da kann man auch gleich ein Verschlüsslungsverfahren ohne Zertifikate einführen. „Vertrauen“ kann ich solchen CAs jedenfalls nicht.
    Für viele DAU-User ist eine verschlüsselte Webseite immer noch ein Granat für „sicher“.
    Es sollte mindestens eine Mail-Validierung an den Hostmaster der jeweiligen Domain stattfinden. Ich kann mir nicht vorstellen, dass diese CA von MS oder Google akzeptiert wird. Phishing-Seiten mit SSL habe ich schon in freier Wildbahn gesehen. Hier waren Cloudflare und Comodo ein „Team“. Cloudflare hat scheinbar eine eigene Sub-CA von Comodo bekommen und stellt Zertifikate gleich für eine ganze Sammlung von Domänen aus.

  22. Es wird sicher auch hier so sein dass eine Validierung der Domain stattfindet. Also zb. Mails an postmaster.. webmaster@domain oder an den Domaininhaber mit einem Bestätigungslink.

    Oder alternativ einen Hash der im Document Root des Webservers hinterlegt werden muss.

    Also kann „Hinz und kunz“ kein Zertifikat für sparkasse.de ausstellen lassen.

  23. Also ich sehe nicht, wo das Zertifikat von StartSSL den Sinn von Zertifikaten aushebeln soll. Schließlich muss man sich dort auch mittels einer Mail an postmaster@domain oder webmaster@domain verifizieren. Ähnlich wird es bei let’s encrypt doch wahrscheinlich auch sein. Nur dass man dort vlt nicht ganz so eingeschränkt sein wird, wie man es zur Zeit bei der kostenlosen Variante von StartSSL ist.
    Finde das aber prinzipiell eine gute Sache, denn nicht jeder möchte für eine kleine, private Website oder einen kleinen online Shop, der nur wenige Kunden hat, direkt ein teures Zertifikat für manchmal mehrere 100€ im Jahr bezahlen und verzichtet deswegen ganz auf SSL. Dies könnte sich damit nun ändern.

  24. Ihr solltet euch einfach mal das hier durchlesen: https://letsencrypt.org/howitworks/technology/

  25. Da kann ich @DerNivel nur zustimmen. Einige Kommentatoren haben leider den Link definitiv noch nicht gelesen. Auch bei LE findet eine DV Zertifizierung statt – also domain validated. Sprich: Es wird der Eigentümer der Domain/Admin der Domain verifiziert. Nur läuft das ganze Prozedere darum automatisch ab, es wird zusätzlich ein CLI geliefert mit dem Administratoren und nicht so tech-affine Leute eben auch selbst Schlüssel und CSR erstellen können und dann das Zertifikat ausgestellt bekommen. Zusätzlich kann man dank CLI und API dann die Prozesse wie Ausstellung, Prüfung der Laufzeit und Verlängerung automatisieren, so dass man nicht mal wieder ohne gültiges Zertifikat rumsteht, weil jemand vergessen hat zu verlängern. Da es gratis Zertifikate sind entfallen auch Payment und deren Datenübermittlung so dass man sich auf den Verifikationsprozess stützt. Das heißt aber nicht wie manche hier denken, dass der Phisher um die Ecke mal eben „web.de“ oder „gmail.com“ beantragen kann. Er würde nie an die Verifikationsdaten kommen.

  26. Das ist wirklich insbesondere wegen den Subdomains sinnvoll. Ich bin auf jeden Fall schon gespannt.
    Hab ich das richtig verstanden, dass wenn ich example.com registrieren möchte, das Tool mich dann auffordert, eine zufallsgenerierte Subdomain abdefgsdafgdf.example.com oder http://example.com/jdfjafd einzurichten und das dann so überprüft wird?