Kostenlose Zertifikate für Unternehmen

Für Unternehmen gibt es zahlreiche Gründe, warum sie ihre Webseiten schützen sollten. Neben der verschlüsselten Datenübertragung dürfte auch Google ein starkes Argument für die Nutzung einer Verschlüsselung sein: Im Rahmen der Kampagne HTTPS Everywhere hat der Konzern angekündigt, dass Webseiten mit aktiver, starker Verschlüsselung im Ranking bevorzugt behandelt werden. Wer sich also gegenüber den Mitbewerbern absetzen will, muss sich zwangsläufig mit dem Thema Verschlüsselung beschäftigen und seine Seiten absichern.

Die Verschlüsselung von Webseiten ist ein kompliziertes Thema: Eigentlich weiß jedes Unternehmen, dass es seine Webseiten mit dem Protokoll SSL (Secure Sockets Layer) beziehungsweise dem Nachfolgeprotokoll TLS (Transport La­yer Security) verschlüsseln sollte. Doch sowohl die anspruchsvolle Technik wie auch undurchsichtige Preismodelle der entsprechenden Zertifizierungsstellen schrecken viele Unternehmen ab. Das Projekt Let’s Encrypt geht beide Probleme ganz praktisch an: Nicht nur sind dessen Zertifikate kostenlos, es fließt auch viel Know-how in die möglichst einfache Integration der Zertifikate auf den Webservern.

Vor allem das „Kostenlos“ klingt eigentlich zu gut, um wahr zu sein. Normalerweise fallen für SSL-Zertifikate je nach Umfang bis zu mehrere Hundert Euro pro Jahr an. Let’s Encrypt ist jedoch zu 100 Prozent seriös: Es wurde 2012 von zwei Mozilla-Mitarbeitern sowie der Electronic Frontier Founda­tion (EFF) und der University of Michigan gestartet. Inzwischen haben sich die Macher in der Non-Profit-Organisation Internet Security Research Group zusammengeschlossen. Auch konnte das Projekt zahlreiche prominente Unterstützer gewinnen, dazu gehören etwa Akamai Technologies, Cisco Systems, Gemalto und Facebook.

---

Der große Vorteil von Let’s Encrypt ist, dass das Projekt mittlerweile als sogenannte Root CA (Certificate Authority, Zertifikatsautorität) anerkannt ist. Das heißt, die Zertifikate wurden von einer anderen Zertifikatsautorität, in diesem Fall IdenTrust, gegengezeichnet und damit als legitim bestätigt. Browser werfen also keine Fehlermeldung aus, wenn man eine mit einem Let’s-Encrypt-Zertifikat verschlüsselte Webseite öffnet.

Kostenlos: Jeder, der eine Domain besitzt, kann kostenlos ein für diese Domain gültiges Zertifikat erhalten

Automatisiert: Der komplette Prozess des Generierens und Einrichtens der Zertifikate soll so einfach und automatisiert wie möglich erfolgen. Erneuerungen der Zertifikate sollen ebenfalls automatisiert ablaufen

Sicher: Let’s Encrypt als Plattform verpflichtet sich, die modernsten Sicherheitstechniken zu implementieren

Transparent: Die Daten zu ausgestellten und zurückgezogenen Zertifikaten sind für jedermann einsehbar

Offen: Die automatisierten Protokolle zu Ausstellung und Erneuerung sind ein offener Standard und nutzen, wo immer möglich, Open-Source-Programme

Kooperativ: Let’s Encrypt will das Internet insgesamt verbessern

Matthias Simonis, Sicherheitsexperte beim eco-Verband, fasst die Unterschiede gegenüber bisherigen Lösungen so zusammen: „Let’s Encrypt hat den Vorteil, dass es sehr einfach ist. Im Endeffekt muss man nur die Kon­trolle über die jeweilige Domain nachweisen und kann mit wenigen Befehlen eine effektive Verschlüsselung integrieren.“

Let’s Encrypt liefert X.509-Zertifikate für TLS – sogenannte Domain-Validation-Zertifikate. Die Zertifikate unterliegen einigen Einschränkungen. Ein Problem ist die fehlende Unterstützung von Wildcard-Domains. Let’s Encrypt stellt Single-Name- oder Multi-Domain-Zertifikate aus, eine Unterstützung für Wildcards ist derzeit nicht geplant. Der Grund dafür sind vor allem technische Hürden.

Ein weiterer möglicher Nachteil sind die Ablaufzeiten der ausgegebenen Zertifikate. Nach 90 Tagen müssen sie erneuert werden. Diesen Zeitraum hat das Projekt festgelegt. Hintergrund ist zum einen, dass bei Diebstahl des Zertifikats der Schaden zeitlich begrenzt ist. Zum anderen will das Projekt mit der kurzen Gültigkeitsdauer die automatisierte Erneuerung von Zertifikaten vorantreiben. Bei vielen anderen Zertifizierungsstellen ist eine umständliche manuelle Zertifikatserneuerung notwendig.

---

Die Let’s-Encrypt-Zertifikate sind zudem an Domain-Namen und nicht an IP-Adressen gebunden. Das macht es etwas schwieriger, Let’s Encrypt in einer rein IP-basierten Umgebung zu nutzen, etwa in einem Firmen-LAN. Dieses Pro­blem lässt sich aber lösen, indem auch im LAN ein Domainname genutzt wird.

Der größte Nachteil ist derzeit, dass der jeweilige Hosting-Anbieter mitspielen muss. Für Kunden, die keinen kompletten Server mit Root-Zugang nutzen, dazu gehören etwa die meisten Bezieher von reinen Webspace-Paketen, ist die In­stallation eines Let’s-Encrypt-Zertifikats oft nur möglich, wenn der Anbieter aktiv mithilft. Während das bei kleineren Hosting-Providern kein Problem ist, zieren sich viele größere Provider. Das liegt nicht zuletzt daran, dass diese lieber Zertifikate kommerzieller Anbieter gewinnbringend weiterverkaufen möchten.

Die technische Seite von Let’s Encrypt ist simpel. Die Lösung hält sich an bestehende Standards und kann daher mit allen bekannten SSL-Implementierungen genutzt werden. Hierzu erweitert man den Webserver um eine Verschlüsselungslösung wie OpenSSL. Anschlie­ßend lässt sich das Zertifikat über einen entsprechenden Client integrieren. Welchen Client man nimmt, bleibt dem Unternehmen überlassen. Der offizielle Certbot-Client von Let’s Encrypt funk­tioniert ebenso wie etwa ein Plug-in für die Management­lösung Plesk oder Clients auf Basis von Python oder PHP. Zudem gibt es für fast jede Anwendung, jedes Content Management System und jede Webserver-Konfiguration eine Anleitung im Internet.

Trotz der Einschränkungen ist das Interesse an Let’s Encrypt enorm. Schon in der Beta-Phase wurden eine Million TLS-Zertifikate vergeben. Nach Ende der Beta-Phase im April dieses Jahres stieg die Zahl weiter an, im Juni gab es bereits mehr als vier Millionen Encrypt-Zertifikate.

Let’s Encrypt hat den Markt für Webseitenverschlüsselung bereits jetzt ziemlich erschüttert. Und das ist gut so. Verschlüsselung wurde von vielen Hosting-Anbietern vor allem als Premium-Option gehandelt, mit der sich gutes Geld verdienen ließ.

Mit als Reaktion auf Let’s Encrypt sind die Preise für den Grundschutz einer Webseite drastisch gefallen. 1&1 kündigte etwa kürzlich an, alle Hosting-Pakete um Zertifikate von Symantec zu erweitern, und rief dazu eine ganze Sicherheitskampagne aus. Für das Web und die Nutzer hat das nur Vorteile. Die Zeit ist reif für eine weitreichende Verschlüsselung des Datenverkehrs im Internet. Die Voraussetzungen dafür sind vorhanden.