Nachdem glücklicherweise immer mehr Hoster Let’s Encrypt™ Zertifikate, also kostenloses SSL, anbieten, wird es Zeit, die Initiative hinter diesem SSL für alle einmal näher zu beleuchten. Was genau macht Let’s Encrypt? Warum sind die Zertifikate kostenlos? Was kann Let’s Encrypt schon und wo besteht noch Nachholbedarf? Diese und weitere Fragen besprechen wir in diesem Hintergrundartikel.
Die Verschlüsselung des Datenverkehrs wird immer mehr zum Standard im Netz. Zum Glück! Nachdem auch wir – vor mittlerweile ca. einem Jahr – Let’s Encrypt integriert haben, ergibt es Sinn das Projekt etwas näher zu beleuchten.
Let’s Encrypt ist eine relativ junge Zertifizierungsstelle (die Beta startete 2015) für SSL Zertifikate – auch Certification Authority (CA) genannt. Die Initiative hat einen automatisierten Prozess geschaffen, über den SSL Zertifikate ausgestellt werden. Diese zeigen BenutzerInnen einer Seite, dass er sich auf der “echten” Website befindet und dass der Datenverkehr zwischen Browser und Webserver verschlüsselt wird.
Was ist Let’s Encrypt?
Die Schlüsselprinzipien von Let’s Encrypt sind:
- Frei: Alle, die einen Domainnamen besitzen, können Let’s Encrypt benutzen. Darüber hinaus sind Let’s Encrypt Zertifikate kostenfrei.
- Automatisch: Software läuft auf einem Webserver und kann mit Let’s Encrypt Zertifikate beziehen, zur Benutzung abgesichert werden und automatisch Zertifikate erneuern.
- Sicher: Let’s Encrypt stellt eine Plattform für erweiterte TLS Sicherheit zur Verfügung, sowohl auf der CA Seite als auch bei der betreibenden Firma, um diesen bei der Absicherung des Servers zu unterstützen.
- Transparent: Alle ausgestellten und widerrufenen Let’s Encrypt Zertifikate sind öffentlich für alle zugänglich.
- Offen: Das automatische Ausstellungs- und Erneuerungsprotokoll wird als offen veröffentlicht, damit andere es adaptieren können.
- Kooperativ: Ähnlich wie die zugrundeliegenden Internetprotokolle selbst, ist Let’s Encrypt eine gemeinsame Anstrengung, die der Community zugutekommt.
Was ist Let’s Encrypt eigentlich?
Ja, Let’s Encrypt Zertifikate sind wirklich kostenlos
Die drängendste Frage zuerst: Ist Let’s Encrypt wirklich kostenlos? Um es kurz zu machen: Ja, weder die Zertifikate, noch die benötigten Programme kosten Geld. Bei vielen werden hinter dieser Frage jedoch nicht rein wirtschaftliche Beweggründe stehen, sondern vor allem die Frage danach, warum Let’s Encrypt kostenlos ist. Warum also ein Produkt, das sich andere Organisationen zuvor entlohnen ließen, plötzlich kostenlos angeboten wird.
Gemeinnützigkeit und Sponsoren machen Let’s Encrypt kostenlos
Let’s Encrypt ist ein Non-Profit-Projekt und muss kaum Personal bezahlen. Zudem findet das Gros der Prozesse automatisiert statt. Somit fällt eine große finanzielle Belastung weg. Auch die benötigte Hardware ist durch die Kooperation mit der Linux Foundation zu großen Teilen abgegolten. Für alle weiteren Kosten sind die Sponsorengelder und Spenden gedacht.
Alle können der Organisation einen beliebigen Geldbetrag via Paypal spenden. Für größere Summen und Organisationen wurde ein Sponsoring-System geschaffen. Das teuerste Paket kostet 350.000 $, kleinere Unternehmen sind für Beträge zwischen 10.000 $ und 50.000 $ dabei – je nach Zahl der beschäftigten Personen.
Was sind die Ziele von Let’s Encrypt?
Nun spielen in diesem Zusammenhang nicht nur wirtschaftliche Überlegungen eine Rolle, sondern auch die Frage nach den Beweggründen der Organisatoren. Hier gibt es zum einen das altruistische Argument: HTTPS soll zum Standard im Internet werden und alle WebseitenbetreiberInnen weltweit soll in die Lage versetzt werden die eigene Website einfach und kostenlos an diesen anzupassen.
It’s time for encrypted communications to be the default on the web and Let’s Encrypt is going to make it happen. – Let’s Encrypt
Der zweite wichtige Beweggrund ist der Wille, Gleichberechtigung im Netz zu schaffen. Immerhin ist das Vorhandensein eines SSL-Zertifikats mittlerweile ein Rankingkriterium für Google geworden. Und wenn sich bestimmte Websites entweder die Zertifikate nicht leisten können oder keinen Zugang zu solchen haben, grenzt dies diese Seiten – und damit bestimmte Personen und deren WordPress-Projekte – von der Teilhabe im Internet aus.
We provide certificates free of charge, because cost excludes people. Our certificates are available in every country in the world, because the secure Web is for everyone. – Let’s Encrypt
Der Gerechtigkeits- und Gleichberechtigungsgedanke scheint somit das zentrale Element der Bestrebungen von Let’s Encrypt zu sein.
Let’s Encrypt wird von vielen Branchengrößen unterstützt
Neben den offiziellen Sponsoren, zu denen Größen wie Mozilla, Cisco, Chrome oder Facebook zählen, gehören auch Unternehmen aus dem WordPress-Bereich zu den Unterstützern des Let’s Encrypt-Projekts. Beispielsweise Automattic oder wpbeginner. Vor allem diese Unternehmen und Organisationen passen durch ihre WordPress-spezifische Sicht auf das Internet und ihre Motivation hervorragend zu Let’s Encrypt.
Automattic ist übrigens Silbersponsoren, was jährliche Kosten von 50.000 $ bedeutet. Automattic hat sich vor allem durch seine standardmäßige Integration von Let’s Encrypt Zertifikaten für auf WordPress.com gehostete Seiten hervorgetan.
Let’s Encrypt ist das Projekt, die Organisationsstrukturen sind wesentlich größer
Let’s Encrypt selbst ist lediglich der Zertifizierungsservice, also die Autorität, die die Zertifikate ausstellt. Das organisatorische Gesamtkonstrukt ist aber deutlich größer. Die Mutterorganisation von Let’s Encrypt ist die Internet Security Research Group (ISRG) mit Sitz in San Francisco. Dem Vorstand dieser Non-Profit-Organisation gehören WissenschaftlerInnen, UnternehmensvertreterInnen und VertreterInnen von Stiftungen und weiteren gemeinnützigen Organisationen an.
Mindestens zwei weitere Institutionen werden im Zusammenhang mit Let’s Encrypt ebenfalls wichtig. Zum einen die Electronic Frontier Foundation (EFF), die seit Mai 2016 Certbot, die Zertifizierungssoftware für das Erstellen von Let’s Encrypt Zertifikaten, betreut. Zum anderen die Linux Foundation, die über ihr Collaborative Projects-Programm die technische Infrastruktur für Let’s Encrypt bereitstellt.
Insgesamt betreuen also gleich mehrere Teams aus Non-Profit-Organisationen Let’s Encrypt und die entsprechende Infrastruktur.
Die größte Stärke von Let’s Encrypt ist die einfache Bedienung
Die drei größten Stärken von Let’s Encrypt sind sicherlich, dass die Zertifikate umsonst sind, dass Let’s Encrypt und die benötigte Software stetig weiterentwickelt und verbessert werden und dass die Einrichtung der Zertifikate verhältnismäßig einfach ist.
Den Aspekt der kostenlosen Zertifikate haben wir ja bereits besprochen. Zusätzlich dazu wird Let’s Encrypt aber auch ständig weiterentwickelt. Zuletzt sind die Zertifikate, für jeden mit entsprechenden Fähigkeiten und Zugriffsrechten, auch recht einfach einzurichten. Auch das Erlernen der nötigen Schritte ist nicht zwingend schwer. Es muss lediglich der Certbot genutzt und der Webserver mit den jeweiligen Zusatzmodulen versehen werden. Schon können Zertifikate eingerichtet und erneuert werden.
Die größte Schwäche von Let’s Encrypt ist die Kompatibilität
Derzeit ist die Zertifikatspalette mit nur einem Zertifikat sehr überschaubar. Das wird sich in Zukunft auch nicht ändern, denn die erweiterten Validierungen, die für OV- oder EV-Zertifikate benötigt werden, können nicht automatisiert werden und kosten zudem Geld. Gerade die Automatisierung ist es aber, die Let’s Encrypt Zertifikate kostenlos macht. Erweiterte Validierungen sind somit derzeit nur schwer mit dem Grundgedanken von Let’s Encrypt zu vereinen, auch wenn es erste Ideen gab, wie die Validierung zum Beispiel in die Community ausgelagert werden könnte. Unseres Wissens nach wurden die Pläne für die Einführung erweiterter Validierungen aber bisher nicht weiter verfolgt.
Zwar sind die Zertifikate für Profis nicht schwer einzubinden, für Laien, oder bei Personen mit nur eingeschränktem Zugriff auf ihren Webserver, kann es aber unter Umständen unnötig viel Zeit in Anspruch nehmen die Serverkonfiguration für den Certbot anzupassen, die Zertifikate zu ordern, diese einzubinden und regelmäßig zu erneuern. Insbesondere ist die Laufzeit eines Let’s Encrypt SSL-Zertifikats wesentlich geringer, als die eines “normalen” Zertifikats. Alle 90 Tage müssen Let’s Encrypt Zertifikate erneuert werden. Ein klassisches SSL-Zertifikat ist hingegen 12, 24 oder gar 36 Monate lang gültig und bedarf in diesem Zeitraum in der Regel keiner technischen Pflege.
Bei Problemen ist man zudem komplett auf sich alleine gestellt und kann keine Support-Dienstleistungen von Let’s Encrypt in Anspruch nehmen. Es existiert allerdings ein umfangreiches Support-Forum der Community. In der Anfangszeit war zudem die Kompatibilität der kostenlosen SSL-Zertifikate mit verschiedenen Browsern ein Problem. Mittlerweile können aber alle großen Browser mit den Zertifikaten umgehen. Probleme gibt es eigentlich nur noch bei veralteter Software.
Verfügt man also nicht über die nötigen Fähigkeiten, kann die eigenhändige Einbindung eines Zertifikats, inklusive Tests, Fehlersuche und -behebung, deutlich teurer sein, als der Kauf eines SSL-Zertifikats. Auch das ist mittlerweile aber eher ein theoretisches Problem. Denn viele Hoster unterstützen entweder eine einfache 1-Klick-Installation der Zertifikate, oder bieten kostenlose Basis-Zertifikate anderer Zertifizierungsstellen an.
Fazit: Let’s Encrypt hat ein hehres Ziel, das unterstützt werden sollte
Let’s Encrypt will nach eigenen Angaben das Internet sicherer und schneller machen und das vor allem für solche NutzerInnen, die bisher keinen Zugang zu SSL-Zertifikaten hatten. Für professionelle WebseitenbetreiberInnen hat Let’s Encrypt vor allem einen Kosten-, Vertrauens- und SEO-Vorteil, wenn auch nur für Domainvalidierungen. Ob in absehbarer Zeit auch erweiterte Validierungen angeboten werden, ist zu bezweifeln – vorausgesetzt das Automatisierungsproblem kann nicht gelöst werden.
Die Nutzung der Zertifikate sorgt jedoch nicht nur für kostenlose Verschlüsselung – und bei dem ein oder anderen für ein tiefergehendes Verständnis für Sicherheit im Internet –, sondern auch für eine indirekte Unterstützung des guten Zwecks hinter Let’s Encrypt. Wir haben Let’s Encrypt vor allem deswegen integriert, weil wir an den Nutzen des Projekts glauben. Denn die Zertifikate sind zwar kostenlos, deren Nutzung aber nicht umsonst, sondern hoffentlich ein Beitrag zu einem neuen Sicherheitsstandard im Netz.
Deine Fragen zu Let’s Encrypt
Beitragsbild: Unsplash
Hallo,
danke für die umfangreiche Info.
Noch eine Frage dazu:
Wie schaut es mit der Performanz von Let’s Encrypt aus?
Gibt es da Unterschiede zu kostenpflichtigen SSL-Zertifikaten?
Gibt es bzgl. SEO und Goolge Unterschiede?
Besten Dank
Johann
Hallo Johann,
zu Performanz und SEO sind mir keine Unterschiede bekannt. Ansonsten gibt es durchaus Stufen der Authentifizierung, siehe etwa https://www.digicert.com/de/difference-between-dv-ov-and-ev-ssl-certificates
Wenn ich die freundlichen Unterstützer bei dem Projekt sehe, sind das nicht fast alles auch Unterstützer der NSA?
Welche direkten Zugriffe sind denn bei dem Script System grundsätzlich möglich? Die könnten doch problemlos Seiten, die verschlüsselt sind, lesen. Immerhin befinden sich deren Scripte doch auf dem entsprechenden Server.
Was ist das denn für eine Sicherheit?
Ich traue Zertifizierer grundsätzlich nicht und stelle meine eigenen Zertifikate aus, natürlich mit den bekannten Nachteilen.
Hi Markus, danke für deinen interessanten Input. Meine persönliche Meinung wenn es nach der NSA geht dann spielt es keine Rolle welche Unternehmen dort mitwirken und ob sie aus den USA kommen oder in Europa beteiligt sind. Des weiteren ist es zumindest technisch bewiesen das es zwischen kostenlosen und kostenpflichtigen SSL-Zertifikaten keinen Unterschied gibt. Für Personen die wie du sowieso gerne ihre eigenen Zertifikate ausstellen ist das natürlich eher unwichtig. Ich jedenfalls vertraue dieser groß angelegten Offensive für gratis SSL. VG Torben