Open Source im professionellen Einsatz
Linux-Magazin 10/2016
© Alexey Poprotsky, 123RF

© Alexey Poprotsky, 123RF

SSL-Zertifikate mit Let's Encrypt automatisieren

Vertrauenssache

Was stört an herkömmlichen SSL-Zertifikaten mehr: die Kosten oder die fehlende Automatisierbarkeit? Die Initiative Let's Encrypt ist angetreten, um beides zu verbessern.

516

Let's Encrypt [1] ist ein Projekt der gemeinnützigen Internet Security Research Group (ISRG, [2]), in der sich unter andrem Mozilla und die Electronic Frontier Foundation zusammengeschlossen haben. Ziel des durch Sponsoren finanzierten Projekts ist es, SSL-Verschlüsselung zu verbreiten, ja sogar HTTP als Standard durch HTTPS zu ersetzen.

Um die Hürden für den Einsatz der Verschlüsselung zu senken, haben die Beteiligten das Thema von Grund auf neu überdacht. Herausgekommen ist nicht nur eine neue Zertifizierungsstelle (Certification Authority, CA), sondern auch ein neues Protokoll, das auf dem besten Weg ist, ein RFC-Standard zu werden.

Kostenlose Zertifikate

Sicherere Kommunikation soll Dienstebetreiber nach Möglichkeit kein Geld kosten. Let's Encrypt stellt deshalb kostenlose SSL-Zertifikate aus. Warum aber brauchte es ein neues Protokoll? Das geht auf ein Sicherheitsproblem zurück: Kompromittierte Zertifikate sollen schnell austauschbar sein. Deshalb beschränken die Aussteller die Gültigkeit der Zertifikate von vornherein auf 90 Tage.

Braucht der Anwender aber alle 90 Tage ein neues Zertifikat, dann muss er den Erneuerungsprozess automatisieren können. Und dafür wiederum hat die ISRG ein eigenes Protokoll entwickelt, das Automatic Certificate Management Environment (ACME). Derzeit liegt ACME als Internet Draft bei der Internet Engineering Task Force (IETF, [3]).

Let's Encrypt implementiert das ACME-Protokoll als freie Software. Server-seitig läuft die CA-Software Boulder [4], die unter der Mozilla Public License 2.0 steht. Für die Clients der CA – also die Server der Anwender – gibt es bereits eine Vielzahl von ACME-Clients. Der offizielle Client heißt Certbot [5]. Er ist das Nachfolgetool einer Referenzimplementierung von Let's Encrypt, die das Linux-Magazin früher bereits einmal vorgestellt hat [6].

Das ambitionierte Projekt hat im April 2016 die Betaphase verlassen und im Juni 2016 sein fünfmillionstes Zertifikat ausgestellt. Seit März ist Let's Encrypt Mitglied des CA/Browser-Forums [7], um in Zukunft als auditierte Zertifizierungsstelle in den gängigen Browsern vorinstalliert zu sein. Momentan sind die Stammzertifikate von Identrust cross-signiert, damit die Browser kein Misstrauen schöpfen. Firefox vertraut seit Kurzem auch direkt dem Let's-Encrypt-Zertifikat.

Der Funktionsumfang

Eine der wichtigsten Fragen ist, was mit Let's Encrypt geht und was nicht. Grundsätzlich stellt die CA nur Domain-validierte Zertifikate nach dem X.509-Standard aus. Domain-validiert bedeutet, dass Zertifikatsinhaber lediglich beweisen, dass sie die Domain kontrollieren, für die das Zertifikat gelten soll. Eine Prüfung der tatsächlichen Identität ihrer Person oder Organisation findet jedoch nicht statt.

Wer aber auf SSL-Zertifikate mit einer solchen erweiterten Validierung oder Organisations-Validierung angewiesen ist, der geht vorerst leer aus. Let's Encrypt ist also vor allem für diejenigen interessant, die verschlüsselte Verbindungen zu ihren Websites, Mailservern oder Ähnlichem anbieten möchten.

Für den deutschsprachigen Kontext ist interessant, dass Let's Encrypt im Laufe dieses Jahres auch Domainnamen mit Umlauten unterstützen soll. Wildcard-Zertifikate sind zumindest bislang nicht geplant. Wer mehrere Subdomains besitzt, kann bis zu 100 von ihnen mit demselben Zertifikat abdecken oder viele einzelne Zertifikate ausstellen lassen. E-Mails oder Quellcode lassen sich dagegen nicht mit X.509-Zertifikaten signieren.

Let's Encrypt unterstützt Certificate Transparency nach RFC 6962 [8], befüllt also ein öffentliches Log mit allen ausgestellten Zertifikaten. Browser, die in der Lage sind, die Certificate Transparency abzufragen, können Benutzer bei fehlender Übereinstimmung warnen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Certbot löst Let's-Encrypt-Client ab

    Certbot heißt der Nachfolger des Let's-Encrypt-Client der EFF. Er ist noch im Beta-Stadium und soll Admins dabei helfen, den Traffic ihrer Websites zu verschlüsseln.

  • Erstes Zertifikat von Let's Encrypt online

    Let's encrypt, die neue Zertifizierungsstelle, will kostenlose Zertifikate ausstellen und den Prozess vereinfachen. Sie hat nun ihre Arbeit aufgenommen und ein erstes Zertifikat veröffentlicht.

  • Einführung

    Sysadmin-Kolumnist Charly Kühnast bricht eine Lanze für die kostenlosen SSL-Zertifikate von Let's Encrypt. Insbesondere der zugehörige Softwareclient hat es ihm angetan, der von der Beschaffung der Zertifikate bis zum Einbinden in den Webserver alles erledigt.

  • Browser vertrauen Let's-Encrypt-Zertifikaten

    Let's Encrypt nimmt eine weitere wichtige Hürde: Dank Cross-Signaturen vertrauen Browser nun den Zertifikaten der neuen Zertifizierungsstelle.

  • Let's Encrypt wuchs 2016 stark

    Anfang 2016 startete Let's Encrypt als kostenlose CA und betreut nur ein Jahr später rund 20 Millionen aktive Zertifikate. Wie die frischgebackene CA mit dem Wachstum umging, beschreibt ein Blogpost.

comments powered by Disqus

Ausgabe 09/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.