t3n News

Kostenlose HTTPS-Zertifikate für alle: „Let’s Encrypt“ startet in die offene Beta-Phase

Kostenlose HTTPS-Zertifikate für alle: „Let’s Encrypt“ startet in die offene Beta-Phase

Nach dem die Zertifizierungsstelle „Let's Encrypt“ alle großen Browser unterstützt, folgt jetzt der nächste Meilenstein: Der Anbieter für kostenlose HTTPS-Zertifikate geht in die offene Beta-Phase.

Kostenlose HTTPS-Zertifikate für alle: „Let’s Encrypt“ startet in die offene Beta-Phase

(Grafik: Let's Encrypt)

Kostenlose HTTPS-Zertifikate sollen Websicherheit steigern

Vor knapp einem Jahr wurde Let’s Encrypt angekündigt, das erklärte Ziel: der Verbreitung von sicheren HTTPS-Verbindungen im Netz zum endgültigen Durchbruch zu verhelfen. Jetzt ist der Anbieter kostenloser HTTPS-Zertifikate in die offene Beta-Phase gestartet. Damit hat Let's Encrypt auch seinen Zertifikats-Client veröffentlicht, dessen Quellcode auf GitHub zu finden ist. Eine Anleitung für diesen Client findet ihr in der Dokumentation.

Der Client benötigt Python 2.6 oder 2.7 – mit Python 3 soll eine der nächsten Versionen kompatibel sein. Aktuell läuft das Tool auf Servern mit Debian 8 oder neuer (inklusive seiner Derivate) oder mit Ubuntu 12.04+. Eine experimentelle Version des Clients läuft auch unter Nginx.

Let's Encrypt bietet in Kürze kostenlose HTTPS-Zertifikate an. (Screenshot: Let's Encrypt/t3n)
Let's Encrypt bietet kostenlose HTTPS-Zertifikate an. (Screenshot: Let's Encrypt/t3n)

Ein wichtiger Meilenstein, den Let's Encrypt in einem Blogeintrag gefeiert hat, war die Bereitstellung von sogenannten „Cross-Signatures“ durch die Zertifizierungsstelle IdenTrust. Damit sind die Zertifikate von allen großen Browsern unterstützt worden. Websitebetreiber, die die Gratis-HTTPS-Zertifikate von Let’s Encrypt einsetzen, können ihren Besuchern damit eine sichere Umgebung bieten, ohne dafür spezielle Konfigurationen vornehmen zu müssen. Zudem lässt sich auch die Erneuerung von Zertifikaten automatisieren.

Derzeit unterstützt Let's Encrypt nur Domain-Validated-Zertifikate und keine Organization-Validation-Zertifikate oder Extended-Validation-Zertifikate. Wildcard-Zertifikate für Subdomains bietet das Unternehmen bislang ebenfalls nicht an – Nutzer haben jedoch die Möglichkeit, mit Subject-Alternative-Names zehn Subdomains abzudecken.

HTTPS bringt Vorteile für das Google-Ranking

Den Initiatoren von Let's Encrypt zufolge waren die „Komplexität, die Bürokratie und die Kosten der Zertifikate, die man für HTTPS braucht“ bisher die größten Hindernisse beim Einsatz von HTTPS. Dabei würden die verschlüsselten Verbindungen deutlich mehr Sicherheit versprechen als das Standard-HTTP-Protokoll. Weiterer Vorteil für den Einsatz von HTTPS: Website-Betreiber dürfen sich auf ein besseres Ranking bei Google freuen. Wie eine Website mit dem eingebauten Gratis-HTTPS von Let's Encrypt aussehen könnte, demonstriert die Initiative hier.

Let's Encrypt basiert auf dem von den Entwicklern selbst entwickelten Protokoll Automated Certificate Management Environment (ACME), das schon als Internet-Draft der IETF vorliegt. Hinter Let's Encrypt stehen zahlreiche Größen der IT-Branche wie Cisco, Akamai, Mozilla oder Facebook.

Letztes Update des Artikels: 4. Dezember 2015. Autor des Original-Artikels ist Jörn Brien.

via futurezone.at

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
8 Antworten
  1. von Ribert am 21.10.2015 (11:01 Uhr)

    Ist ja schön, aber neu ist das mE. nicht. Startcom/StartSSL macht das schon seit Jahren.

    Antworten Teilen
    • von Chris am 21.10.2015 (12:18 Uhr)

      Ja schon. Aber auch bei StartSSL ist der Aufwand der betrieben werden muss für ein Zertifikat doch erheblich größer als bei Let's Encrypt.

      Antworten Teilen
      • von Philipp Blum am 21.10.2015 (18:39 Uhr)

        Aus Gründen! Immerhin muss man doch checken, ob ich auch wirklich der Inhaber einer Domain bin. Dauert vielleicht eine Stunde. Sooo viel Aufwand ist das jetzt auch wieder nicht.

        Teilen
  2. von Chris am 22.10.2015 (10:17 Uhr)

    @Philipp Blum: Dem stimme ich zu, jedoch wird bei StartSSL auch keine Überprüfung durchgeführt die sicherer ist als die von Let's Encrypt.
    Bei ersterem wird eben anhand der E-Mail Addresse überprüft ob man wirklich der Domain-Inhaber ist. Bei letzterem erfolgt die Prüfung direkt anhand der Tatsache, dass mal es Serverseitig ausführt.

    Prinzipiell geht es Let's Encrypt auch mehr um die Tatsache einfach den Nutzern eine Seite (egal welcher) eine verschlüsselte Verbindung zur Verfügung zu stellen, ohne dass gleich ein Warnhinweis des Browsers kommt. Egal wer jetzt hinter dieser Seite steckt.

    Antworten Teilen
  3. von Jürgen Schulze am 23.10.2015 (09:55 Uhr)

    Die beklagte Bürokratie, die bisher notwendig war, hat aber auch dazu geführt, dass Betrüger eben nicht so einfach an ein SSL-Zertifikat herankamen.
    Jetzt denkt wieder jeder, "Oh, im Browser ist ja ein Schloss/Schlüssel zu sehen, dann muss das eine vertrauenswürdige Seite sein." - Und dabei kann jetzt dank dieses "Angebotes" jeder aus der Hüfte ein Zertifikat bestellen, ohne Überprüfung. Mahlzeit.

    Antworten Teilen
    • von Chris am 23.10.2015 (10:36 Uhr)

      Dem stimme ich zu. Aber denkst du wirklich es hat den Nutzern viel geholfen dass oben ein Schloss ist. Wie lange predigen wir IT'ler denn schon gewisse Sicherheitstipps und wie oft werden sie wirklich befolgt?
      Zumal lediglich Class 1 Zertifikate ausgestellt werden. Und zwischen einem grünen Schloss und einen komplett grünen Namen / Adresszeile (kommt auf den Browser ja an) ist immer noch ein unterschied.

      Außerdem, und ich kann es nicht oft genug betonen, geht es ja um die prinzipielle Möglichkeit Daten verschlüsselt zu übertragen, sodass auch das Lieschen von Nebenan auf dem Blog des Nachbarn surfen kann ohne dass gleich ihre E-Mail Adresse (wenn Sie ein Kommentar z.B. hinterlässt) unverschlüsselt übertragen wird. Denn so kann der Nachbar von nebenan ohne großen Aufwand seinen Blog mit einem SSL-Cert ausrüsten und alles ist heile (etwas überspitzt dargestellt)

      Antworten Teilen
  4. von Hans Meyer am 04.12.2015 (16:02 Uhr)

    Mir scheint der Aufwand gegenüber der Variante von StartSSL doch um einiges grösser zu sein.
    1. Man muss dieses Tool installieren, was Root Rechte bedingt und selten der Fall ist, ausser bei einem eigenen Server.
    2. Man muss die Firewall und das Port Forwarding anpassen, damit das Tool nach aussen verbinden darf (In einem Intranet u.U. unmöglich).
    3. Man muss die ganze Prozedur jede 90 Tage, bzw. später 30 Tage wiederholen.
    4. Damit sich das Zertifikat selbst aktualisieren könnte, müsste das Tool immer Root rechte haben. Und einem Skript, das nach aussen verbindet sollte man keine permanenten Root-Rechte geben (mit Ausnahme des Webservers).

    Zertifikat über E-mail verifizieren lassen, runterladen und installieren wäre da um Welten einfacher für meinen RaspberryPi mit OwnCloud hinter einer Fritzbox adressiert mit DynDNS.

    Antworten Teilen
  5. von Kompression am 06.12.2015 (21:30 Uhr)

    Man könnte die public-Keys ja auch bei Google hinterlegen und dann bürokratiefreier trotzdem verschlüsselt kommunizieren. Google ist anscheinend nicht interessiert obwohl Werbe-Umsätze also Googles Einnahmen den Wert der Wirtschaft repräsentieren und somit Diktaturen und Miswirtschaft die Einnahmen verringern so das Google billig aufgekauft werden können wird wenn die Rezession kommt. Vergleiche Premiere/Sky/RTL/Sat1Pro7-Aktienkurse in der Rezession.

    Auch stellt sich die Frage was die Qualitäts-Presse dem Bürger bzgl. der Bedeutung des Schlosses beigebracht hat: Ob es eine vom Staat und TÜV und BSI usw. überprüfte Webseite ist wo man alle seine Bankdaten und Kreditkarten-Nummern eingeben darf oder ob es einfach nur abhörsicher ist. Auch Drogenhändler hinterm Bahnhof kommunizieren abhörsicher und ohne Steuer-ID-Nummer.
    Die Browser wären in der Pflicht. Meine uralte Idee bei problematischen Zertifikaten den User verständlich zu informieren und den Key an alle (Firefox, Opera, Apple, M$, Google, ...) zu verpetzen wird von Firefox inzwischen realisiert.
    Jeder benutzt täglich Türschlösser oder Autos ohne zu wissen wie sie funktionieren oder sie mit bloßen Fingern zusammenzubasteln wie man es aktuell für Zertifikate und oft triviale Web-Server-Optionen machen muss. D.h. man muss es so einfach realisieren das die Lernkurve kurz und schnell ist und es effektiv funktioniert.

    Was mich viel mehr interessiert wären die Traffic-Änderungen durch https.
    M.W. wird bei ssl/https automatisch mit gzip komprimiert und dann verschlüsselt. D.h. der Traffic müsste pro Visit bei https: gegenüber http: kleiner sein. Dieser Effekt wäre mal interessant.

    Was sagen eigentlich die Provider ? Kassieren die nicht extra für https und Bürokratie während manche davon ständig Datenschutz-, Bürokratie- und Kontroll-Abbau bei der Politik fordern ?
    Wenn https sich verbreitet, hätten die Rechner mehr zu rechnen für die Verschlüsselung. De Fakto ist Lets-Encrypt trotz des lobenswerten Idee wegen des geringen Einsatzes also vermutlich wie AdBlocker: Irrelevante Einzelfälle.

    Falls der Rank sich verbessert könnte es sich trotzdem durchsetzen. Leider gibts keine Standart-Zertifikate vom BSI für PHP-Programmierer oder Web-Administratoren um alle bundesweit (und die von ihnen für viel Geld betreuten zigtausenden kleinen Kunden-Webserver) auf dem gleichen Wissens-Stand zu halten. Ohne Abmahnungen hätte ich das längst realisiert... Heilpraktiker müssen m.W. eine Prüfung ablegen... Wieso nicht Web-Admins alle zwei Jahre am Ipad im Rathaus inclusive Selfie-Pic und Resultat-Upload an xing damit man häufiger gebucht wird und keine Fakes den Test ablegen ? In USA muss man alle paar Jahre beweisen das man noch in der Lage ist, Auto zu fahren. Woanders ist mal wieder besser...

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?