Der aspectra-Blog seit 2012

TLS: Die ID für Domain Names, Teil 3: «Let’s Encrypt»

Im letzten Beitrag zu Zertifikaten wurden deren verschiedene Validierungsformen sowie der Zweck der Zertifizierungsstellen beschrieben. In diesem Beitrag befassen wir uns mit Let’s Encrypt.

Ende 2014 wurde von einer Gruppe von Unternehen sowie diverser Organisationen die gemeinnützige c mit dem Namen «Let’s Encrypt» (Lasst uns verschlüsseln) gegründet. Hinter der Initiative steht die Internet Security Research Group (ISRG); Mozilla, Akamai, Cisco, Electronic Frontier Foundation, Google Chrome und Facebook gehören zu den bekanntesten ihrer zahlreichen Sponsoren.

Deren Ziel ist es, Domain-Validated SSL-Zertifikate auszustellen, kostenfrei für jedermann, für ein sicheres und Datenschutz-förderndes Internet. Seit Januar 2016 sind via Let’s Encrypt über 40 Millionen Zertifikate ausgestellt worden, hier die aktuelle Statistiken.

Da die Zertifikate automatisch, also ganz ohne menschliches Zutun validiert werden, kann der Aufwand durch Beiträge von Sponsoren und grosszügigen Privatpersonen gedeckt werden.

Vorteile
  • Es ist kein Spezialwissen notwendig.
  • Let’s Encrypt reduziert Schlüsselerzeugung, Zertifikatsantrag, Zertifikatsinstallation und Konfiguration auf einen einzelnen Befehl.
  • Die Zertifikate sind kostenlos.
  • Die Gültigkeit von maximal 90 Tage reduziert den Schaden durch Diebstahl und Fehlausgaben durch Fehlkonfigurationen.
  • Sollte ein Zertifikat gestohlen werden, gilt es nur für einen kurzen Zeitraum, siehe Why ninety-day lifetimes for certificates?  
Nachteile
  • Das Zertifikat ist nur 90 Tag gültig und muss danach wieder erneuert werden. Dies geschieht allerdings meist automatisch mittels eines Cron-Jobs.
  • Wildcard-Zertifikate sind erst ab Januar 2018 möglich (*.domain.com), alternativ sind aber SAN-Zertifikate möglich, d.h., dass ein Zertifikat mehrere Namen enthalten kann.
  • Extended Validation oder Organisation Validation Zertifikate werden nicht angeboten.
  • Ältere Systeme, Browser oder Applikationen können Kompatibilitätsprobleme haben
Setzt aspectra Let’s Encrypt ein?

Da wir als Hoster einen grossen Wert auf Sicherheit legen, begrüssen wir die grossflächige Verteilung von Zertifikaten und setzen darum Let’s Encrypt neben anderen SSL-Zertifikaten ein. Einige unserer Sicherheitsprodukte haben aber die Möglichkeit zur Nutzung von Let’s Encrypt Zertifikaten noch nicht vollständig implementiert. Zurzeit entscheiden wir uns von Fall zu Fall, ob Let’s Encrypt eingesetzt werden kann.

Blogserie zu TLS-Zertifikate: 
Weiterführende Informationen: