HTTPS für Jedermann – kostenlose Webseiten-Verschlüsslung mit Let’s Encrypt!

Die Internet Security Research Group (ISRG) hat eine öffentliche Beta-Phase seiner SSL/TLS-Zertifizierungsstelle „Let’s Encrypt“ gestartet.

Ziel von Cisco, Facebook, Mozilla und der weiteren Konzerne und Institutionen hinter der Initiative ist es, eine Verschlüsselung mit HTTPS endgültig für alle Webseiten zur Regel im Internet zu machen. Erreicht werden soll das durch einen möglichst unkomplizierten Zugang zu Standard SSL/TLS-Zertifikaten. Die eigens dafür eingerichtete Zertifizierungsstelle stellt ab sofort kostenlos Domain-Validation-Zertifikate aus, die von allen gängigen Webbrowsern als vertrauenswürdig eingestuft werden.

Let’s Encrypt macht seinem Namen Ehre

Mit dem gleichnamigen Software-Client funktioniert die Beantragung und Installation von SSL-Zertifikaten auf allen gängigen Linux-Systemen problemlos. Die Let’s Encrypt-Zertifikate eignen sich damit insbesonders für die einfache und schnelle Einrichtung einer Verschlüsselung von UNIX-basierten Webseiten, die bisher noch kein HTTPS verwenden. Windows-Nutzer müssen sich zwar um die Installation der Zertifikate selbst kümmern, haben jedoch mit etwas manuellem Aufwand z.B. über die Webseite https://gethttpsforfree.com/ ebenfalls die Möglichkeit in den Genuss von entsprechenden, kostenlosen Zertifikaten zu kommen.

Folgende Einschränkungen gibt es jedoch zu beachten:

  • Let’s Encrypt akzeptiert derzeit keine internationalen Domainnamen, also Namen, mit nicht US-amerikanischen Zeichen. Falls der Name Ihrer Webseite etwa z.B. deutsche Umlaute enthält, wird für eine vertrauenswürdige Verschlüsselung ein Zertifikat eines alternativen Anbieters benötigt.
  • Alle von Let’s Encrypt ausgestellten Zertifikate haben im Moment immer eine feste Laufzeit von lediglich 90 Tagen. Nach Ablauf der Zeit wird das Zertifikat automatisch ungültig und muss ggf. durch ein neues ersetzt werden. Dadurch kann u.U. ein erhöhter Wartungsaufwand entstehen, falls die Zertifikate z.B. für das Intranet oder auf einen Mailserver regelmäßig manuell aktualisiert werden müssen.
  • Es werden nur Single- oder Multi-Domain Webserver-Zertifikate ausgestellt, Wildcard-Domain- oder E-Mail-Zertifikate (S/MIME) werden von Let’s Encrypt nicht unterstützt.
  • Let’s Encrypt-Zertifikate dienen – wie alle Domain-Validation-Zertifikate – grundsätzlich rein der Transport-Verschlüsselung zwischen Client und Server und stellen keinerlei Informationen über die Identität des Inhabers oder Betreibers einer Webseite bereit. Kommerzielle Webseiten, wie insbesondere Online-Shops, sollten jedoch nachprüfbare Angabe zum Seitenbetreiber anbieten, um einen Missbrauch zu erschweren. Dafür sind Zertifikate mit einer Prüfung der Identität des Inhabers erforderlich (Organisation Validation oder Extended Validation).
  • Die von Let’s Encrypt angebotenen Dienste stehen bisher erst im Rahmen einer Beta-Version bereit und können daher noch Fehler enthalten – auch wenn sie sich in unseren bisherigen Tests als zuverlässig erwiesen haben.

Außerdem sollten Sie vor der Aktivierung von HTTPS für Ihre Webseite grundsätzlich prüfen, ob alle eingebetteten Ressourcen wirklich eine verschlüsselte Verbindung verwenden – ansonsten erhalten Ihre Webseitenbesucher eine Warnung, dass Teile der Seite nicht verschlüsselt übertragen werden können.

Kunden der ec elements GmbH können kostenlos und unkompliziert Let’s Encrypt-Zertifikate über ihre Kundenschnittstelle beantragen und für die eigene Webseiten aktivieren; das System erneuert alle so registrierten Zertifikate dann auch automatisch rechtzeitig vor Ablauf des jeweiligen Gültigkeitszeitraums.

Schreibe einen Kommentar