Let’s Encrypt stellt das erste Zertifikat aus
Heute hat Let’s Encrypt einen neuen Meilenstein passiert: Seit heute ist das erste ausgestellte Zertifikat in der freien Wildbahn in Verwendung. Let’s Encrypt ist eine neue und kostenfreie Zertifizierungsstelle für Zertifikate zum Aufbau sicherer Verbindungen mit Webseiten. Um Besuchern verschlüsselte HTTPS-Verbindungen zu ermöglichen, werden hierzu Zertifikate benötigt. Normalerweise kosten diese je nach Anbieter eine stolze Summe, aber Let’s Encrypt hat sich zum Ziel gesetzt, kostenfreie, sichere und leicht ausstellbare Zertifikate für die Öffentlichkeit bereitzustellen – und dies möglichst einfach und automatisiert. Sponsoren wie Mozilla, Cisco, Akamai, EFF, Automattic und IdenTrust sind ebenfalls an Bord und unterstützen das Vorhaben.
Es gibt aber noch einen kleinen Haken: Das aktuelle Stammzertifikat von Let’s Encrypt ist noch nicht in allen gängigen Browsern oder Betriebssystemen integriert, daher zeigen die Browser aktuell die mit Let’s Encrypt-Zertifikaten verschlüsselten Webseiten noch als unsicher an. Um aber später als vertrauenswürdige Zertifizierungsstelle zu gelten, wurden deshalb bereits Anträge bei Mozilla, Google, Microsoft und Apple eingereicht, und laut dem Zeitplan sollte dies schon bald der Fall sein. Bislang müssen die Benutzer noch das Stammzertifikat manuell am Rechner als vertrauenswürdig hinzufügen.
Webseitenbetreiber und Domainbesitzer, die bereits großes Interesse an Let’s Encrypt haben, können sich bereits über ein Google-Formular bei einem Beta-Programm anmelden, um bereits in den nächsten Monaten Zertifikate für die eingetragenen Domains zu erhalten.
(Quelle: letsencrypt.org Blog)
Beitrag von Patrik Kernstock, auch auf Twitter zu finden.
Ich finde diese Art der Verteilung von Zertifikaten auch unsinnig, da kann man auch gleich ein Verschlüsslungsverfahren ohne Zertifikate einführen. „Vertrauen“ kann ich solchen CAs jedenfalls nicht.
Für viele DAU-User ist eine verschlüsselte Webseite immer noch ein Granat für „sicher“.
Es sollte mindestens eine Mail-Validierung an den Hostmaster der jeweiligen Domain stattfinden. Ich kann mir nicht vorstellen, dass diese CA von MS oder Google akzeptiert wird. Phishing-Seiten mit SSL habe ich schon in freier Wildbahn gesehen. Hier waren Cloudflare und Comodo ein „Team“. Cloudflare hat scheinbar eine eigene Sub-CA von Comodo bekommen und stellt Zertifikate gleich für eine ganze Sammlung von Domänen aus.
Es wird sicher auch hier so sein dass eine Validierung der Domain stattfindet. Also zb. Mails an postmaster.. webmaster@domain oder an den Domaininhaber mit einem Bestätigungslink.
Oder alternativ einen Hash der im Document Root des Webservers hinterlegt werden muss.
Also kann „Hinz und kunz“ kein Zertifikat für sparkasse.de ausstellen lassen.
Also ich sehe nicht, wo das Zertifikat von StartSSL den Sinn von Zertifikaten aushebeln soll. Schließlich muss man sich dort auch mittels einer Mail an postmaster@domain oder webmaster@domain verifizieren. Ähnlich wird es bei let’s encrypt doch wahrscheinlich auch sein. Nur dass man dort vlt nicht ganz so eingeschränkt sein wird, wie man es zur Zeit bei der kostenlosen Variante von StartSSL ist.
Finde das aber prinzipiell eine gute Sache, denn nicht jeder möchte für eine kleine, private Website oder einen kleinen online Shop, der nur wenige Kunden hat, direkt ein teures Zertifikat für manchmal mehrere 100€ im Jahr bezahlen und verzichtet deswegen ganz auf SSL. Dies könnte sich damit nun ändern.
Ihr solltet euch einfach mal das hier durchlesen: https://letsencrypt.org/howitworks/technology/
Da kann ich @DerNivel nur zustimmen. Einige Kommentatoren haben leider den Link definitiv noch nicht gelesen. Auch bei LE findet eine DV Zertifizierung statt – also domain validated. Sprich: Es wird der Eigentümer der Domain/Admin der Domain verifiziert. Nur läuft das ganze Prozedere darum automatisch ab, es wird zusätzlich ein CLI geliefert mit dem Administratoren und nicht so tech-affine Leute eben auch selbst Schlüssel und CSR erstellen können und dann das Zertifikat ausgestellt bekommen. Zusätzlich kann man dank CLI und API dann die Prozesse wie Ausstellung, Prüfung der Laufzeit und Verlängerung automatisieren, so dass man nicht mal wieder ohne gültiges Zertifikat rumsteht, weil jemand vergessen hat zu verlängern. Da es gratis Zertifikate sind entfallen auch Payment und deren Datenübermittlung so dass man sich auf den Verifikationsprozess stützt. Das heißt aber nicht wie manche hier denken, dass der Phisher um die Ecke mal eben „web.de“ oder „gmail.com“ beantragen kann. Er würde nie an die Verifikationsdaten kommen.
Das ist wirklich insbesondere wegen den Subdomains sinnvoll. Ich bin auf jeden Fall schon gespannt.
Hab ich das richtig verstanden, dass wenn ich example.com registrieren möchte, das Tool mich dann auffordert, eine zufallsgenerierte Subdomain abdefgsdafgdf.example.com oder http://example.com/jdfjafd einzurichten und das dann so überprüft wird?