Freie Certificate Authority ab heute am Start: Let’s encrypt!

Eine CA ist ein Art digitaler Notar, der kryptographische Zertifikate von Webserver-Betreibern beglaubigt. CC-BY-NC 2.0 Tim Reckmann

Nachdem im September das erste Zertifikat online gestellt und im Oktober die Cross-Zertifizierung für alle verbreiteten Browser bekanntgegeben wurde, steht nun der nächste Meilenstein bevor: Die erste Phase der freien und offenen Certificate Authority (CA) „Let’s Encrypt“ endet heute, die sog. „Public beta“ beginnt.

Jedes Smartphone und jeder Computer speichert sehr viele Zertifikate, die jeweils von einer CA beglaubigt und verwaltet werden, um beispielsweise die Authentizität einer Webseite bestätigen zu können. Website-Betreiber können die Zertifikate von „Let’s Encrypt“ nun direkt beziehen, denn ab heute sind sie allgemein verfügbar.

Das generelle Ziel der neuen CA ist es, die finanziellen und technischen Hürden für eine sichere Kommunikation zu senken. Die Zertifikate werden daher kostenfrei vergeben. Derzeit verdienen die CAs ihr Geld damit, Zertifikate an Webserver-Betreiber zu verkaufen. Ob und wie schnell also „Let’s Encrypt“ mit kostenlosen Zertifikaten dieses Geschäftsmodell beenden wird, sollte sich schon im nächsten Jahr zeigen.

Hinter der Initiative „Let’s Encrypt“ steht die kalifornische Internet Security Research Group (ISRG), eine Non-Profit-Organisation, die von Mozilla, Cisco, Akamai und der Electronic Frontier Foundation (EFF) ins Leben gerufen wurde. Die CA hat sich Transparenz auf die Fahnen geschrieben, sie veröffentlicht etwa, an wen und welche Zertifikate ausgeteilt werden.

„Let’s Encrypt“ besteht aus technischer Sicht aus einer API und einem Open-Source-Kommandozeilentool für diese API. Es gab durchaus anfangs nicht nur Freude unter Admins über dieses Kommandozeilentool, denn es erzwang root-Rechte für die Zertifikatsanforderung. Abhilfe brachte aber ein Script ohne sudo/root.

Wer wissen will, wie ein erstes Resümee von „Let’s Encrypt“ nach drei Wochen Vollbetrieb aussehen wird, dem sei der 32C3 empfohlen, denn Roland Shoemaker von der EFF wird dort berichten. Vorerst empfiehlt sich aber ein Podcast (mp3), in dem Josh Aas über „Let’s Encrypt“ spricht. Er ist nicht nur Mitgründer und Geschäftsführer der ISRG, sondern auch Senior Technology Strategist bei Mozilla. Aas hat übrigens heute bekanntgegeben, Facebook als Sponsor ins Boot geholt zu haben.

15 Ergänzungen

  1. Gerade mal ausprobiert und bockt. Hab jetzt nicht den Client von denen verwendet, sondern mir nur manuell ein Zertifikat gesnackt und installiert, aber war nur ne Sache von <15 Minuten. Und ganz ohne laestige Registrierung, man kriegt einfach sein Zertifikat nachdem man da die entsprechenden API-Reqs gemacht hat und diese Dateien in .well-known reingepackt hat und es klappt direkt, so hab ich mir das vorgestellt. Top.

  2. … mich als Endanwender interessiere mich in erster Linie für verschlüsselte eMails.
    Da ich aktuell keine kostenfreien Zertifikate für die problemlose Verschlüsslung bekomme, ist das mal ein unbefriedigender Zustand.
    PGP is a p.i.t.a
    StartSSL geht nur unter der Mitarbeit der Empfänger; also zu 99% nicht.
    Wer verhindert, dass es SMIME in kostenlos gibt?
    DE-Mail ist ja auch keine Lösung … ;-).

    1. „Wer verhindert, dass es SMIME in kostenlos gibt?“
      Die Kosten, die durch SMIME und die damit verbundene Zertifizierung nunmal entstehen ;-)

      Irgendeiner muss es zahlen…

    2. Das Grundproblem bei Email ist mehr spieltheoretisch als technisch, nämlich dass anders als beim Web nicht klar ist, wer wem „einen Dienst erweist.“ Was nicht heissen muss, dass technische Entwicklungen dabei nicht helfen könnten.

    1. Hat er recht, leider.
      Mindestens sollte es ein manuelles Cert als „Option für Unverbesserliche Nerds“ geben.
      Auch das Argument, ein 3-Monate Cert habe u.a. den Sinn, die Leute zum automatischen Update zu bewegen, erscheint vor dem Hintergrund der aufgeblasenen VM-Installation eher fad. Wozu hatte der liebe Gott nochmal Dinge wie OCSP erfunden?

  3. Genial in unter 15min zum eigenen Zertifikat.
    Und nein, Fefe, ich musste meine (Web-)Server dazu nicht mit Python belästigen.
    Ich hab das mit ner kleinen unbedeutenden Linuxkiste zuhause praktiziert
    und nachher nur die Ergebnisfiles auf dem Webserver implemetiert.

    Zwischendrin muss im manuellen Modus noch ein acme-challenge-Textfile auf den Webserver,
    aber den Upload verschmerze ich gerne um meinem Webserver das Python zu ersparen.

    Kann mir jemand erklären, warum manche Hoster auf eine dedizierte IP pro Zertifikat bestehen?
    Daran bin ich dann mit der zweiten Domain gescheitert.
    Das mit der dedizierten IP ist noch nice2have aber nicht must-have, oder?

    1. Das mit der dedizierte IP pro Zertifikat kommt daher, dass TLS ja zwischen TCP und HTTP reingeschoben wird. Zum Zeitpunkt des TLS Verbindungsaufbaus, der vor der HTTP-Abfrage erfolgt ist aber der abzufragende vhost noch nicht bekannt

      Um dieses Problem zu lösen gibt es in neueren Browsern SNI. https://de.wikipedia.org/wiki/Server_Name_Indication

      Da ältere Browser das aber nicht unterstützen insbesondere der berüchtigte IE6 wird das halt teilweise bis heute mit einer IP pro vhost gelöst.

      IMO eigentlich sogar die bessere Lösung und bei IPv6 sollte man das auch wieder so machen.

      Sven

  4. Was soll das sein, was bringt es mir und wem nutzt es? Ich hab keine Ahnung von den ganzen technischen Dingen, aber hier liest man ja schon, wie selbst Fachleute(?) erst mal über das „Wie“ in kryptischen Worten diskutieren. Und wenn ich Cisco, Akamai und dann (wohl als satirischer Witz) auch noch Fotzenbuch genannt werden, komm ich schon in’s grübeln. Ich versuch derzeit, mich als Nutzer zu schützen und setz dabei auf Linux (erste Schritte sind gemacht) und „Einweg“ bei Email usw. Wenn FB drauf steht, sollte man das „Geschenk“ gar nicht erst aufmachen, sondern als Sondermüll entsorgen.

    1. Keine Panik, dir als Nutzer bringt es etwas ohne das du es verstehen muss. Dir bringt es sogar etwas, ohne das du selbst was machen musst ;-)

      Lets Encrypt ist in erster Linnie für Leute interessant, die selber eine Webseite im Internet betreiben. Die können sich jetzt einfacher um deine Sicherheit kümmern. Als Nutzer ändern sich eigentlich nichts.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.