Freie SSL-Zertifikate mit "Let's Encrypt"

Anbieter von kostenfreien SSL-Zertifikaten gibt es schon seit Langem. Als Beispiel seien hier StartSSL und WoSign genannt. Nur wurde man bisher bei der Zertifikatsbeantragung sich selbst überlassen. Hier soll es um einen neuen Ansatz gehen, bei dem die erstmalige Beantragung sowie die Erneuerung automatisiert wird.

Internet Security Research Group (ISRG) heißt die nicht-kommerzielle Vereinigung von Let's encrypt, welche sich die Endkommerzialisierung und technische Vereinfachung der Zertifikatserstellung auf die Fahnen geschrieben hat. Oberstes Ziel ist die Erhöhung der Anzahl verschlüsselter Webseiten weltweit.

Bis heute muss man von der Beantragung eines SSL-Zertifikates bis zur endgültigen Installation auf der eigenen Website einen komplizierten und vor allem zeitraubenden Weg gehen der vom Endkunden oft nicht entlohnt wird, da dieser einen Inklusiv-Preis voraussetzt. Aufwendiges Durchklicken durch Antragsformulare und nerviges Zusammenfügen des Zertifizierungspfades sollen ab September 2015 der Vergangenheit angehören.

Ein Zusammenschluss aus bekannten Organisationen schafft nun Abhilfe. Konkret handelt es sich bei den Gründern und Sponsoren des Projektes um Mozilla, Cisco, Akamai und die Electronic Frontier Foundation. Es gibt natürlich noch weitere Firmen, die das Projekt unterstützen und man kann selbst ebenfalls daran teilnehmen.

Die Beantragung von Zertifikaten bisher

  1. Generieren des CSR[1] und Private Key[1:1]
    Daraus bekommt man zwei Dateien mit den Endungen .CSR- und .KEY

  2. Mit dem CSR geht man zu seinem Zertifikats-Provider, der dann aus den enthaltenen Daten ein Zertifikat baut und unterschreibt. Zuvor muss allerdings ja nach Zertifikatstyp die Identität der Person oder der Firma sowie der Besitz der zugehörigen Domain bestätigt werden. Das passiert meist über E-Mail bzw. Personalausweis, Eintragungen im Handelsregister o.Ä..

  3. Zusammenfügen der Zertifikats-Kette auf dem Webserver
    Der Zertifizierungspfad von der CA[1:2] bis zum Zertifikat wird oft durch ein sogenanntes Intermediate- oder Zwischenzertifikat überbrückt. So lässt sich jederzeit nachvollziehen, wer das Zertifikat unterschrieben hat. Außerdem muss bei Komprommitierung des Zwischenzertifikates nicht das Root-Zertifikat sondern nur ein neues Zwischenzertifikat erstellt und ausgetauscht werden.

  4. Einbinden der .KEY- und .CRT-Dateien (vom SSL-Provider) in die Konfiguration des Webservers

  5. Neustart/Reload des Webservers und Verifizierung der Funktion des SSL-Zertifikats


Man ist mit so einer Zertifikatserstellung gut und gern 30 Minuten beschäftigt (einfachstes Single-Domain ohne erweiterte Validierung). Wenn man einen Dienstleister damit beauftragt auch gern mal 45 bis 60 Minuten. Denn dieser hat als Zwischeninstanz oft mit Rückfragen des Providers zu kämpfen. Außerdem gibt es bei der Beantragung eines Zertifikates einige Dinge zu beachten. Manche Anbieter (darunter auch die oben genannten) bieten die Erstellung des Requests und des Private Keys direkt auf deren Website an. Das ist ein erhebliches Sicherheitsrisiko denn der private Schlüssel darf niemals in die Hände Dritter kommen. Damit ließe sich sonst sämtlicher Traffic entschlüsseln.

Wie läuft die Beantragung in Zukunft ab?

Relativ unkompliiert:

$ apt-get install lets-encrypt
$ lets-encrypt example.com

Fertig!

Na wenn das nicht einfach ist!

Nach der Ausführung von lets-encrypt passieren folgende Dinge automatisch:

  • Einholung der Bestätigung des Besitzes der Domain (zum Beispiel über DNS)
  • Ausstellung + Installation des Zertikates
  • automatische Erneuerung bei Ablauf

Außerdem wird auch ein Revoke (als ungültig markieren) des Zertifikates vereinfacht. Die Kommunikation des Clients mit den Servern der CA passiert über ein dediziertes Protokoll namens ACME[1:3]. Geplant ist auch ein eigener RFC[1:4] bei der IETF[1:5].

Wann gehts los?

Termine zum Start nennt Let's encrypt auf seiner Website:

Let’s Encrypt has reached a point where we’re ready to announce our launch schedule.

First certificate: Week of July 27, 2015

General availability: Week of September 14, 2015

Ich werde euch an dieser Stelle auf dem Laufenden halten.

Wie verkauft man jetzt noch Zertifikate?

Ich denke das große Umdenken der Provider und Dienstleister von SSL wird noch auf sich warten lassen. Große und bekannte Firmen legen viel Wert auf ihren Webauftritt. Dazu gehört auch der Einsatz von Extended Validation und Wildcard SSL-Zertifikaten. Let's encrypt hat momentan keinerlei Pläne, diese ebenfalls kostenfrei anzubieten.

Vor allem als SSL-Dienstleister (Übernahme des Prozesses für den Endkunden) hat man wohl weniger Probleme weil der Kunde sich trotzdem nicht mit Konsolentools und dergleichen rumschlagen möchte. Und sind wir mal ehrlich: die ganze Welt soll ihre Verschlüsselung in die Hände von Cisco und damit womöglich auch der NSA legen? Ich glaube soweit kommt es nicht (wobei mich ja nichts mehr überrascht...).

Was haltet ihr von dem Projekt und werdet ihr es nutzen oder sogar unterstützen? Legt ihr generell Wert auf Verschlüsselung? Bitte lasst es mich in den Kommentaren wissen.


  1. Internet Engineering Task Force ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎