Open Source im professionellen Einsatz

Die Grenzen von Let's Encrypt

04.07.2017

Die britische Firma Enigma Bridge bietet als kostenlose Dienstleistung unter anderem an, in großen Setups die HTTPS-Zertifikate zu überwachen. In einem interessanten Blogpost beschäftigt sich das Unternehmen nun mit den Grenzen von Let's Encrypt.

565

Mittlerweile sei Let's Encrypt (LE) der größte Anbieter von Zertifikaten für Internetserver mit einem Martkanteil von 80 Prozent, erklärt der Blogpost und beruft sich auf Zahlen von Frost & Sullivan sowie Let's Encrypt selbst. Es handele sich nicht um die sichersten Zertifikate, doch bieten sie eine sehr hohe Sicherheit für die meisten User.

Dennoch gibt es einige Beschränkungen, die Let's Encrypt mitbringe und die der Blogpost zu sammeln versucht. Laut Enigma Bridge habe man keine Webseite gefunden, die alle Grenzen von Let's Encrypt im Überblick aufzählt. Dass die Kritikpunkte tatsächlich valide sind, stellte unter anderem Seth Schoen, ein Entwickler von Let's Encrypt, sicher. Er korrigierte einige der Aussagen von Enigma Bridge, sein Feedback floss zum Teil ebenfalls in den Text ein.

Enigma Bridge hat die Kritik kategorisiert. So bespricht ein Punkt zum Beispiel die Restriktionen für Unternehmen. Dazu zählt der Blogpost, dass die Zertifikate nur ein Profil anbieten und nur 90 Tage minus eine Stunde gelten. Während LE keine Wildcards für Subdomains erlaubt, lässt es immerhin Zertifikate mit bis zu 100 Domainnamen zu, die direkt auf Servernamen mappen. Wildcard-Zertifikate gibt es nicht, ebenso fehlen solche mit Extended Validation (EV), weil sie nicht zu automatisieren sind. Die von LE unterstützten RSA-Keylängen sind 2048, 3072 und 4096 Bits, daneben bringt LE Support für P-256- und P-384-ECDSA-Keys mit.

Für den Betrieb gilt es zu beachten, dass LE nicht mehr als 20 Zertifikate pro Woche pro registrierter Domain verteilt, was sich mit den jeweils erwähnten 100 Subdomains pro Zertifikat auf 2000 Subdomains pro Woche addiert. Besonders für Cloudanbieter die pro Kunde eine Subdomain betreiben, kann das ein Engpass werden. Auf Nachfrage lässt sich die Zahl unter Umständen erhöhen, eine Garantie gibt es allerdings nicht. Im Staging-Bereich sind hingegen 30 000 Zertifikate pro Domain pro Woche erlaubt, das hilft beim Testen.

Wiederholte Zertifikatsanfragen mit demselben Set an Domains zählen dabei nicht mit, auch nicht, bei abgelaufenen Zertifikaten. Wer ein neues Zertifikat mit denselben Domainnamen ordert wie ein bereits bestehendes (Renewal), kann dies pro Zertifikat fünf Mal die Woche tun. Admins müssen bei den Domainnamen weder die Groß- und Kleinschreibung, noch die Reihenfolge beachten. Ergänzen sie aber ein Zertifikat um einen Namen oder entfernen sie einen, zählt das als neues Zertifikat und LE rechnet es zu den maximalen Zertifikatsanfragen.

Auch die Zahl an Account-Registrierungen limitiert Let's Encrypt: Für IPv4-Adressen sind 10 Registrierungen in 3 Stunden möglich, für IPv6 ("/48") sind es hingegen 500 im selben Zeitraum. Für Integrationstests empfiehlt der Blogpost das Staging Environment und die Option "--dry-run", andernfalls überschreitet der Admin schnell das Wochenlimit von 20 Zertifikaten. Auch für die Endpoints gibt es Anfragelimits: Für "new-reg", "new-authz" und "new-cert" liegen die bei 20 Anfragen pro Sekunde, für "/directory" sowie das "/acme"-Verzeichnis und seine Unterordner bei 40 Requests pro Sekunde.

Weitere Details zur Implementierung von Zertifikaten und ihren Grenzen, liefert der Blogpost. Er schildert zudem anhand verschiedener Beispiele, wie Admins neue Zertifikate und Renewls am besten kombinieren, um die Limits zu vermeiden und möglichst viele Requests abzusetzen. Für Unternehmen, die viele Domains übersehen und mit dem Gedanken spielen, Let's Encrypt für ihre Zertifikate zu verwenden, dürfte der Artikel nützlicher Lesestoff sein, denn auch bei Let's Encrypt steckt der Teufel mitunter im Detail.

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.