Security

Kostenlose Zertifikate für Unternehmen

Let’s Encrypt vergibt Gratis-Zertifikate für die Verschlüsselung von Webseiten. Dies soll Seitenbetreiber dazu bewegen, ihre Seiten mit SSl/TLS-Technologie abzusichern. Und wo ist der Haken daran?

09.11.2016 Moritz Jäger
Zertifikate-01
"Let's Encrypt" (Foto: Shutterstock / Pavel Ignatov)

Webseiten verschlüsseln

Für Unternehmen gibt es zahlreiche Gründe, warum sie ihre Webseiten schützen sollten. Neben der verschlüsselten Datenübertragung dürfte auch Google ein starkes Argument für die Nutzung einer Verschlüsselung sein: Im Rahmen der Kampagne HTTPS Everywhere hat der Konzern angekündigt, dass Webseiten mit aktiver, starker Verschlüsselung im Ranking bevorzugt behandelt werden. Wer sich also gegenüber den Mitbewerbern absetzen will, muss sich zwangsläufig mit dem Thema Verschlüsselung beschäftigen und seine Seiten absichern.

Die Verschlüsselung von Webseiten ist ein kompliziertes Thema: Eigentlich weiß jedes Unternehmen, dass es seine Webseiten mit dem Protokoll SSL (Secure Sockets Layer) beziehungsweise dem Nachfolgeprotokoll TLS (Transport La­yer Security) verschlüsseln sollte. Doch sowohl die anspruchsvolle Technik wie auch undurchsichtige Preismodelle der entsprechenden Zertifizierungsstellen schrecken viele Unternehmen ab. Das Projekt Let's Encrypt geht beide Probleme ganz praktisch an: Nicht nur sind dessen Zertifikate kostenlos, es fließt auch viel Know-how in die möglichst einfache Integration der Zertifikate auf den Webservern.

Wer steckt hinter Let's Encrypt?

Vor allem das "Kostenlos" klingt eigentlich zu gut, um wahr zu sein. Normalerweise fallen für SSL-Zertifikate je nach Umfang bis zu mehrere Hundert Euro pro Jahr an. Let's Encrypt ist jedoch zu 100 Prozent seriös: Es wurde 2012 von zwei Mozilla-Mitarbeitern sowie der Electronic Frontier Founda­tion (EFF) und der University of Michigan gestartet. Inzwischen haben sich die Macher in der Non-Profit-Organisation Internet Security Research Group zusammengeschlossen. Auch konnte das Projekt zahlreiche prominente Unterstützer gewinnen, dazu gehören etwa Akamai Technologies, Cisco Systems, Gemalto und Facebook.

Der große Vorteil von Let's Encrypt ist, dass das Projekt mittlerweile als so genannte Root CA (Certificate Authority, Zertifikatsautorität) anerkannt ist. Das heißt, die Zertifikate wurden von einer anderen Zertifikatsautorität, in diesem Fall IdenTrust, gegengezeichnet und damit als legitim bestätigt. Browser werfen also keine Fehlermeldung aus, wenn man eine mit einem Let’s-Encrypt-Zertifikat verschlüsselte Webseite öffnet.

Prinzipien von Let's Encrypt:

  • Kostenlos: Jeder, der eine Domain besitzt, kann kostenlos ein für diese Domain gültiges Zertifikat erhalten
  • Automatisiert: Der komplette Prozess des Generierens und Einrichtens der Zertifikate soll so einfach und automatisiert wie möglich erfolgen. Erneuerungen der Zertifikate sollen ebenfalls automatisiert ablaufen
  • Sicher: Let's Encrypt als Plattform verpflichtet sich, die modernsten Sicherheitstechniken zu implementieren
  • Transparent: Die Daten zu ausgestellten und zurückgezogenen Zertifikaten sind für jedermann einsehbar
  • Offen: Die automatisierten Protokolle zu Ausstellung und Erneuerung sind ein offener Standard und nutzen, wo immer möglich, Open-Source-Programme
  • Kooperativ: Let's Encrypt will das Internet insgesamt verbessern

Matthias Simonis, Sicherheitsexperte beim eco-Verband, fasst die Unterschiede gegenüber bisherigen Lösungen so zusammen: "Let's Encrypt hat den Vorteil, dass es sehr einfach ist. Im Endeffekt muss man nur die Kontrolle über die jeweilige Domain nachweisen und kann mit wenigen Befehlen eine effektive Verschlüsselung integrieren."

Details und Einschränkungen

Let's Encrypt liefert X.509-Zertifikate für TLS – so genannte Domain-Validation-Zertifikate. Die Zertifikate unterliegen aber einigen Einschränkungen. Ein Problem ist die fehlende Unterstützung von Wildcard-Domains. Let’s Encrypt stellt Single-Name- oder Multi-Domain-Zertifikate aus, eine Unterstützung für Wildcards ist hingegen derzeit nicht geplant. Der Grund dafür sind vor allem technische Hürden.

Ein weiterer möglicher Nachteil sind die Ablaufzeiten der ausgegebenen Zertifikate. Nach 90 Tagen müssen sie erneuert werden. Diesen Zeitraum hat das Projekt festgelegt. Hintergrund ist zum einen, dass bei Diebstahl des Zertifikats der Schaden zeitlich begrenzt ist. Zum anderen will das Projekt mit der kurzen Gültigkeitsdauer die automatisierte Erneuerung von Zertifikaten vorantreiben. Bei vielen anderen Zertifizierungsstellen ist eine umständliche manuelle Zertifikatserneuerung notwendig.

Die Let's-Encrypt-Zertifikate sind zudem an Domain-Namen und nicht an IP-Adressen gebunden. Das macht es etwas schwieriger, Let's Encrypt in einer rein IP-basierten Umgebung zu nutzen, etwa in einem Firmen-LAN. Dieses Problem lässt sich aber lösen, indem auch im LAN ein Domainname genutzt wird.

Der größte Nachteil ist derzeit, dass der jeweilige Hosting-Anbieter mitspielen muss. Für Kunden, die keinen kompletten Server mit Root-Zugang nutzen, dazu gehören etwa die meisten Bezieher von reinen Webspace-Paketen, ist die Installation eines Let’s-Encrypt-Zertifikats oft nur möglich, wenn der Anbieter aktiv mithilft. Während das bei kleineren Hosting-Providern kein Problem ist, zieren sich viele größere Provider. Das liegt nicht zuletzt daran, dass diese lieber Zertifikate kommerzieller Anbieter gewinnbringend weiterverkaufen möchten.

Integration und Fazit

Die technische Seite von Let's Encrypt ist simpel. Die Lösung hält sich an bestehende Standards und kann daher mit allen bekannten SSL-Implementierungen genutzt werden. Hierzu erweitert man den Webserver um eine Verschlüsselungslösung wie OpenSSL. Anschließend lässt sich das Zertifikat über einen entsprechenden Client integrieren. Welchen Client man nimmt, bleibt dem Unternehmen überlassen. Der offizielle Certbot-Client von Let’s Encrypt funktioniert ebenso wie etwa ein Plug-in für die Managementlösung Plesk oder Clients auf Basis von Python oder PHP. Zudem gibt es für fast jede Anwendung, jedes Content Management System und jede Webserver-Konfiguration eine Anleitung im Internet.

Let's Encrypt hat den Markt erschüttert

Trotz der Einschränkungen ist das Interesse an Let's Encrypt enorm. Schon in der Beta-Phase wurden eine Million TLS-Zertifikate vergeben. Nach Ende der Beta-Phase vor einem halben Jahr stieg die Zahl weiter, im Juni gab es bereits mehr als vier Millionen Encrypt-Zertifikate.

Let's Encrypt hat den Markt für Webseitenverschlüsselung bereits jetzt ziemlich erschüttert. Und das ist gut so. Verschlüsselung wurde von vielen Hosting-Anbietern vor allem als Premium-Option gehandelt, mit der sich gutes Geld verdienen ließ.

Mit als Reaktion auf Let’s Encrypt sind die Preise für den Grundschutz einer Webseite drastisch gefallen. 1&1 kündigte etwa kürzlich an, alle Hosting-Pakete um Zertifikate von Symantec zu erweitern, und rief dazu eine ganze Sicherheitskampagne aus. Für das Web und die Nutzer hat das nur Vorteile. Die Zeit ist reif für eine weitreichende Verschlüsselung des Datenverkehrs im Internet. Die Voraussetzungen dafür sind vorhanden.

Security Web-Technologien RSS Feed abonnieren