Kostenlose Zertifikate für Unternehmen
Prinzipien von Let’s Encrypt
von Moritz Jäger - 19.10.2016
Steigende Beliebtheit: Mitte Juli gab es weltweit bereits knapp 4,5 Millionen aktive Let’s-Encrypt-Zertifikate.
Prinzipien von Projekt Let’s Encrypt
Kostenlos: Jeder, der eine Domain besitzt, kann kostenlos ein für diese Domain gültiges Zertifikat erhalten
Automatisiert: Der komplette Prozess des Generierens und Einrichtens der Zertifikate soll so einfach und automatisiert wie möglich erfolgen. Erneuerungen der Zertifikate sollen ebenfalls automatisiert ablaufen
Sicher: Let’s Encrypt als Plattform verpflichtet sich, die modernsten Sicherheitstechniken zu implementieren
Transparent: Die Daten zu ausgestellten und zurückgezogenen Zertifikaten sind für jedermann einsehbar
Offen: Die automatisierten Protokolle zu Ausstellung und Erneuerung sind ein offener Standard und nutzen, wo immer möglich, Open-Source-Programme
Kooperativ: Let’s Encrypt will das Internet insgesamt verbessern
Matthias Simonis, Sicherheitsexperte beim eco-Verband, fasst die Unterschiede gegenüber bisherigen Lösungen so zusammen: „Let’s Encrypt hat den Vorteil, dass es sehr einfach ist. Im Endeffekt muss man nur die Kontrolle über die jeweilige Domain nachweisen und kann mit wenigen Befehlen eine effektive Verschlüsselung integrieren.“
Details und Einschränkungen
Let’s Encrypt liefert X.509-Zertifikate für TLS – sogenannte Domain-Validation-Zertifikate. Die Zertifikate unterliegen einigen Einschränkungen. Ein Problem ist die fehlende Unterstützung von Wildcard-Domains. Let’s Encrypt stellt Single-Name- oder Multi-Domain-Zertifikate aus, eine Unterstützung für Wildcards ist derzeit nicht geplant. Der Grund dafür sind vor allem technische Hürden.
Ein weiterer möglicher Nachteil sind die Ablaufzeiten der ausgegebenen Zertifikate. Nach 90 Tagen müssen sie erneuert werden. Diesen Zeitraum hat das Projekt festgelegt. Hintergrund ist zum einen, dass bei Diebstahl des Zertifikats der Schaden zeitlich begrenzt ist. Zum anderen will das Projekt mit der kurzen Gültigkeitsdauer die automatisierte Erneuerung von Zertifikaten vorantreiben. Bei vielen anderen Zertifizierungsstellen ist eine umständliche manuelle Zertifikatserneuerung notwendig.
Verschlüsselung: SSL oder TLS? |
Das Verschlüsselungsprotokoll Transport Layer Security (TLS) ist der Nachfolger des bekannteren Socket Security Layer (SSL). |
Aktuelle Browser kommen mit beiden Protokollen zurecht und für den Endnutzer gibt es keinen sichtbaren Unterschied. Unternehmen sollten allerdings ausschließlich das TLS-Protokoll verwenden, weil TLS im Vergleich zu SSL sicherer ist. Um TLS-geschützte Verbindungen zu knacken, müssen Angreifer deutlich mehr Rechenkapazität aufbringen. |
Die Let’s-Encrypt-Zertifikate sind zudem an Domain-Namen und nicht an IP-Adressen gebunden. Das macht es etwas schwieriger, Let’s Encrypt in einer rein IP-basierten Umgebung zu nutzen, etwa in einem Firmen-LAN. Dieses Problem lässt sich aber lösen, indem auch im LAN ein Domainname genutzt wird.
Der größte Nachteil ist derzeit, dass der jeweilige Hosting-Anbieter mitspielen muss. Für Kunden, die keinen kompletten Server mit Root-Zugang nutzen, dazu gehören etwa die meisten Bezieher von reinen Webspace-Paketen, ist die Installation eines Let’s-Encrypt-Zertifikats oft nur möglich, wenn der Anbieter aktiv mithilft. Während das bei kleineren Hosting-Providern kein Problem ist, zieren sich viele größere Provider. Das liegt nicht zuletzt daran, dass diese lieber Zertifikate kommerzieller Anbieter gewinnbringend weiterverkaufen möchten.
