Das könnte dich auch interessieren

Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Entwicklung

Initiative „Let’s Encrypt“: Kostenlose HTTPS-Zertifikate ab Sommer 2015

    Initiative „Let’s Encrypt“: Kostenlose HTTPS-Zertifikate ab Sommer 2015

Das sichere HTTPS-Protokoll. (Foto: © hakandogu – Fotolia.com)

Die Electronic Frontier Foundation (EFF) hat eine neue Initiative angekündigt, um der Verbreitung von sicheren HTTPS-Verbindungen im Netz zum endgültigen Durchbruch zu verhelfen.

Mit „Let’s Encrypt!“ hat die Electronic Frontier Foundation eine neue Initiative ausgerufen, um sichere HTTPS-Verbindungen zum Standard im Internet zu machen. Für ihren Vorstoß hat sie Mozilla, Cisco, Akamai, IdenTrust und Forscher der Universität Michigan gewonnen.

HTTPS-Zertifikate: Bisher das größte Hindernis für die Verbreitung von HTTPS

Verschlüsselte HTTPS-Verbindungen stellen einen großen Fortschritt gegenüber dem Standard-HTTP-Protokoll dar. Und doch sind noch längst nicht alle Seiten im Netz über das sicherere HTTPS-Protokoll erreichbar. „Die größten Hindernisse beim Einsatz von HTTPS sind bislang die Komplexität, die Bürokratie und die Kosten der Zertifikate, die man für HTTPS braucht“, erklärt die Electronic Frontier Foundation in ihrem Blogpost zur Let’s-Encrypt-Initiative. Jeder kenne die Warnhinweise im Zusammenhang mit nicht authentifizierten HTTPS-Verbindungen – ein Hinweis darauf, dass der Zertifizierungsprozess viel zu kompliziert und optimierungsfähig sei.

Let’s Encrypt will eine neue, bessere HTTPS-Zertifizierungsstelle aufbauen. (Screenshot: eff.org)
Let’s Encrypt will eine neue, bessere HTTPS-Zertifizierungsstelle aufbauen. (Screenshot: eff.org)

Mit einer neuen Zertifizierungsstelle will die EFF nun Abhilfe schaffen. Im Sommer 2015 soll sie ihre Arbeit aufnehmen – und damit die Arbeit von Webentwicklern weltweit deutlich vereinfachen: Bisher brauche ein Entwickler durchschnittlich ein bis drei Stunden, wenn er die Verschlüsselung zum ersten Mal einrichte. „Die Umstellung eines Webservers von HTTP zu HTTPS wird mit der neuen Zertifizierungsstelle so einfach sein wie ein Klick auf einen Button“, verspricht die EFF – eine deutliche Verbesserung zum Status quo.

Let’s Encrypt: Einfache und kostenlose HTTPS-Zertifikate ab 2015

Let’s Encrypt will verschiedene neue Technologien zum Einsatz bringen, um Domains automatisiert zu verifizieren und die Zertifikate auszustellen, darunter ein eigens entwickeltes Protokoll zwischen Webservern und Zertifizierungsstelle, das neue, besonders gründliche Domainprüfungsverfahren ermöglicht. Als Betreiber der neuen Zertifizierungsstelle wird mit der Internet Security Research Group (ISRG) eine neu gegründete Non-Profit-Organisation eingesetzt.

Den Ablauf des Verfahrens demonstriert die Elecronic Frontier Foundation in folgendem Video:

Im „Let’s Encrypt“-Preview auf Github können Entwickler weiteren Einblick nehmen und bei der Weiterentwicklung des Projektes helfen. Bislang sind die Reaktionen im Netz ausgesprochen positiv: „Exactly what the Internet needs“, kommentiert ein YouTube-Nutzer das Video. „Finally.“

via www.golem.de

Finde einen Job, den du liebst

3 Reaktionen
Auch an Kunden denken
Auch an Kunden denken

Das hindert doch keinen daran einem falsche Webseiten oder falsche IP-Nummern unterzujubeln.
Ich wollte schon vor Jahren Browser die die Zertifikate und IP-Nummern bei mehreren Stellen überprüfen: Google, Mozilla, Amazon (für Fire-Geräte),Apple (iOS, MacOS,...).
Und das die Browser klar melden wenn sich ein Zertifikat oder IP-Nummer seit dem letzten Mal geändert haben oder man sogar eine History sieht.
Dann mache ich Onlinebanking halt einen halben Tag später wenn sich das Problem geregelt hat.

Das man Keys nur für 6-12 Monate betreiben sollte, sollte auch klar sein.

Von daher ist die Initiative OK, aber die Endkundenseite sollte auch verbessert werden.
Auch bei großen Onlineshops oder Anbietern muss man manchmal Zertifikate einfach akzeptieren :-/ oder ein paar Wochen später kaufen.

Antworten
casaper
casaper

Wenn ich mich nicht verlesen habe betitelt sich die Initiative ja auch »Lets Encrypt« und nicht »Let's Sign«|»Let's verify identity«, oder?
So wie ich mir das vor stelle, wird eine Abklärung der Identität immer einen Aufwand mit sich bringen, der halt leider etwas kostet.

Aber warum darauf herum reiten, denn für private Anwender die so Beispielsweise ihre privaten Cloud-Anwendungen einfacher verschlüsseln können? Denn all die welche ihr ownCloud jetzt mit selfSigntCerts rennen lassen, hätten durch so was sicherlich keine Einbussen. Wenn es wirklich so einfach zu handhaben wird, dann wird es sogar für eine grössere Verbreitung der Verschlüsselung führen, was grundätzlich zu begrüssen ist *find*

Antworten
irgendeinem Spinner
irgendeinem Spinner

Naja die Prüfung hält sich doch arg in Grenzen. Bei den simplen Zertifikaten besteht die nur im Zusenden eine Links an die Postmaster-Adresse, die Bestätigung ist der Klick des Kunden. Was dafür berechnet wird ist schon echt unverschämt.

Zumal man dem Anbieter auch noch vertrauen muss, ich setze da lieber auf meine selbstsignierten Zertifikate, bei mir weiß ich wenigstens, dass ich mir trauen kann. Immerhin wird es mit Zertifikatpinning bald etwas besser.

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen