19.10.2016
Webseiten verschlüsseln
1. Teil: „Kostenlose Zertifikate für Unternehmen “
Kostenlose Zertifikate für Unternehmen
Autor: Moritz Jäger
Shutterstock / Pavel Ignatov
Let’s Encrypt vergibt Gratis-Zertifikate für die Verschlüsselung von Webseiten. Dies soll Seitenbetreiber dazu bewegen, ihre Seiten mit SSl/TLS-Technologie abzusichern. Und wo ist der Haken daran?
Für Unternehmen gibt es zahlreiche Gründe, warum sie ihre Webseiten schützen sollten. Neben der verschlüsselten Datenübertragung dürfte auch Google ein starkes Argument für die Nutzung einer Verschlüsselung sein: Im Rahmen der Kampagne HTTPS Everywhere hat der Konzern angekündigt, dass Webseiten mit aktiver, starker Verschlüsselung im Ranking bevorzugt behandelt werden. Wer sich also gegenüber den Mitbewerbern absetzen will, muss sich zwangsläufig mit dem Thema Verschlüsselung beschäftigen und seine Seiten absichern.
Die Verschlüsselung von Webseiten ist ein kompliziertes Thema: Eigentlich weiß jedes Unternehmen, dass es seine Webseiten mit dem Protokoll SSL (Secure Sockets Layer) beziehungsweise dem Nachfolgeprotokoll TLS (Transport Layer Security) verschlüsseln sollte. Doch sowohl die anspruchsvolle Technik wie auch undurchsichtige Preismodelle der entsprechenden Zertifizierungsstellen schrecken viele Unternehmen ab. Das Projekt Let’s Encrypt geht beide Probleme ganz praktisch an: Nicht nur sind dessen Zertifikate kostenlos, es fließt auch viel Know-how in die möglichst einfache Integration der Zertifikate auf den Webservern.
Wer steckt hinter Let’s Encrypt?
Vor allem das „Kostenlos“ klingt eigentlich zu gut, um wahr zu sein. Normalerweise fallen für SSL-Zertifikate je nach Umfang bis zu mehrere Hundert Euro pro Jahr an. Let’s Encrypt ist jedoch zu 100 Prozent seriös: Es wurde 2012 von zwei Mozilla-Mitarbeitern sowie der Electronic Frontier Foundation (EFF) und der University of Michigan gestartet. Inzwischen haben sich die Macher in der Non-Profit-Organisation Internet Security Research Group zusammengeschlossen. Auch konnte das Projekt zahlreiche prominente Unterstützer gewinnen, dazu gehören etwa Akamai Technologies, Cisco Systems, Gemalto und Facebook.
Der große Vorteil von Let’s Encrypt ist, dass das Projekt mittlerweile als sogenannte Root CA (Certificate Authority, Zertifikatsautorität) anerkannt ist. Das heißt, die Zertifikate wurden von einer anderen Zertifikatsautorität, in diesem Fall IdenTrust, gegengezeichnet und damit als legitim bestätigt. Browser werfen also keine Fehlermeldung aus, wenn man eine mit einem Let’s-Encrypt-Zertifikat verschlüsselte Webseite öffnet.
2. Teil: „Prinzipien von Let’s Encrypt“
Prinzipien von Let’s Encrypt
Prinzipien von Projekt Let’s Encrypt
Kostenlos: Jeder, der eine Domain besitzt, kann kostenlos ein für diese Domain gültiges Zertifikat erhalten
Automatisiert: Der komplette Prozess des Generierens und Einrichtens der Zertifikate soll so einfach und automatisiert wie möglich erfolgen. Erneuerungen der Zertifikate sollen ebenfalls automatisiert ablaufen
Sicher: Let’s Encrypt als Plattform verpflichtet sich, die modernsten Sicherheitstechniken zu implementieren
Transparent: Die Daten zu ausgestellten und zurückgezogenen Zertifikaten sind für jedermann einsehbar
Offen: Die automatisierten Protokolle zu Ausstellung und Erneuerung sind ein offener Standard und nutzen, wo immer möglich, Open-Source-Programme
Kooperativ: Let’s Encrypt will das Internet insgesamt verbessern
Matthias Simonis, Sicherheitsexperte beim eco-Verband, fasst die Unterschiede gegenüber bisherigen Lösungen so zusammen: „Let’s Encrypt hat den Vorteil, dass es sehr einfach ist. Im Endeffekt muss man nur die Kontrolle über die jeweilige Domain nachweisen und kann mit wenigen Befehlen eine effektive Verschlüsselung integrieren.“
Details und Einschränkungen
Let’s Encrypt liefert X.509-Zertifikate für TLS – sogenannte Domain-Validation-Zertifikate. Die Zertifikate unterliegen einigen Einschränkungen. Ein Problem ist die fehlende Unterstützung von Wildcard-Domains. Let’s Encrypt stellt Single-Name- oder Multi-Domain-Zertifikate aus, eine Unterstützung für Wildcards ist derzeit nicht geplant. Der Grund dafür sind vor allem technische Hürden.
Ein weiterer möglicher Nachteil sind die Ablaufzeiten der ausgegebenen Zertifikate. Nach 90 Tagen müssen sie erneuert werden. Diesen Zeitraum hat das Projekt festgelegt. Hintergrund ist zum einen, dass bei Diebstahl des Zertifikats der Schaden zeitlich begrenzt ist. Zum anderen will das Projekt mit der kurzen Gültigkeitsdauer die automatisierte Erneuerung von Zertifikaten vorantreiben. Bei vielen anderen Zertifizierungsstellen ist eine umständliche manuelle Zertifikatserneuerung notwendig.
Die Let’s-Encrypt-Zertifikate sind zudem an Domain-Namen und nicht an IP-Adressen gebunden. Das macht es etwas schwieriger, Let’s Encrypt in einer rein IP-basierten Umgebung zu nutzen, etwa in einem Firmen-LAN. Dieses Problem lässt sich aber lösen, indem auch im LAN ein Domainname genutzt wird.
Der größte Nachteil ist derzeit, dass der jeweilige Hosting-Anbieter mitspielen muss. Für Kunden, die keinen kompletten Server mit Root-Zugang nutzen, dazu gehören etwa die meisten Bezieher von reinen Webspace-Paketen, ist die Installation eines Let’s-Encrypt-Zertifikats oft nur möglich, wenn der Anbieter aktiv mithilft. Während das bei kleineren Hosting-Providern kein Problem ist, zieren sich viele größere Provider. Das liegt nicht zuletzt daran, dass diese lieber Zertifikate kommerzieller Anbieter gewinnbringend weiterverkaufen möchten.
3. Teil: „Integration und Fazit“
Integration und Fazit
Let’s Encrypt hat den Markt erschüttert
Trotz der Einschränkungen ist das Interesse an Let’s Encrypt enorm. Schon in der Beta-Phase wurden eine Million TLS-Zertifikate vergeben. Nach Ende der Beta-Phase im April dieses Jahres stieg die Zahl weiter an, im Juni gab es bereits mehr als vier Millionen Encrypt-Zertifikate.
Let’s Encrypt hat den Markt für Webseitenverschlüsselung bereits jetzt ziemlich erschüttert. Und das ist gut so. Verschlüsselung wurde von vielen Hosting-Anbietern vor allem als Premium-Option gehandelt, mit der sich gutes Geld verdienen ließ.
Mit als Reaktion auf Let’s Encrypt sind die Preise für den Grundschutz einer Webseite drastisch gefallen. 1&1 kündigte etwa kürzlich an, alle Hosting-Pakete um Zertifikate von Symantec zu erweitern, und rief dazu eine ganze Sicherheitskampagne aus. Für das Web und die Nutzer hat das nur Vorteile. Die Zeit ist reif für eine weitreichende Verschlüsselung des Datenverkehrs im Internet. Die Voraussetzungen dafür sind vorhanden.
Storage-Trends
„Immer mehr Terabyte auf immer engerem Raum“
Elke Steinegger, RVP Germany and Austria von Pure Storage, spricht über Datenfluten durch KI, Storage as a Service und Nachhaltigkeit.
>>
Breitbandmarkt
Gigabit-fähige Anschlüsse werden zu selten gebucht
Die jährliche Studie zum deutschen Breitbandmarkt von VATM und Dialog Consult zeigt, dass die Zahl schneller Glasfaseranschlüsse steigt, doch vor allem bei der Telekom ist die Take-Up-Rate immer noch gering.
>>
Nutanix .NEXT 2024
Showtime auf der .NEXT für die hybriden Multiclouds von Nutanix
Kaum Wolken am Himmel, dennoch dreht sich in Barcelona alles um die Cloud. Wenigstens auf der .NEXT, dem Jahreskongress von Nutanix. Der Anlass bietet mehr als nur News und Networking. Hier können sich Kunden beraten und Partner direkt zertifizieren lassen.
>>
Für HP-Partner
Miete24 launcht HP Workplace-as-a-Service-Konzept
Die Grenke-Tochter Miete24 und HP arbeiten künftig enger zusammen. Mit der Kooperation erweitert Miete24 sein Angebot um einen speziellen Bereich, in dem HP-Partner in Zukunft Produkte rund um den Arbeitsplatz mieten können.
>>