Let's Encrypt: kostenlose SSL/TLS Verschlüsselung für alle

Dateien in der Cloud, Daten, die über Webseiten übertragen werden, DSVGO Vorgaben … es führt kein Weg um eine sichere Verschlüsselung von Webseiten und anderen Server-basierten Diensten mehr herum. In der Vergangenheit konnte dies mit der Einrichtung von Zertifkaten für verschlüsselte Webseiten von Hand recht aufwändig werden und wurde daher nicht ganz so häufig von kleineren Webseiten genutzt, schon gar nicht von privaten Webseiten. Mit Let's Encrypt ist seit 2015 ein automatisierter Prozess für die Verschlüsselung von Webseiten mittels SSL/TLS Zertifikaten möglich.

Let's Encrypt ist eine Non-Profit Zertifizierungsstelle, die kostenlose SSL-Zerfikate zur Verfügung stellt. Daten können bei der Übertragung über das WWW so nicht mehr einfach von Unbefugten ausgelesen und missbraucht werden. Dateien, persönliche Daten, Zahlungsdaten wie Kreditkartennummern, etc. können Dank der SSL/TLS Verschlüsselung sicher im Internet übertragen werden.

Let's Encrypt ist kostenfrei, d. h. jeder kann es für seine Webseiten recht einfach verwenden, ob Privatperson oder Unternehmen. Die Mission von Let's Encrypt ist ein sicheres Internet. Ermöglicht wird Let's Encrypt von der Non-Profit Organisation Internet Security Research Group (ISRG).

Um den Aufruf mittels https, also einer gesicherten Verbindung, für eine Domain zu ermöglichen, braucht man ein Zerftikat (eine Art Datei) von einer Zertifizierungsstelle. Let's Encrypt ist eine globale Zertifizierungsstelle. Einzelpersonen und Organisationen bzw. Unternehmen können SSL/TLS Zertifikate durch Let's Encrypt beziehen, erneuern und verwalten. Die Zertifikate können von Webseiten genutzt werden, um sichere https Verbindungen zu ermöglichen. Die Zertifikate werden von nahezu allen Browsern und Betriebssystemen akzeptiert.

Die Let's Encrypt Zertifikate sind übliche Domain Validierungs Zertifikate, was bedeutet, dass sie für jeden Server genutzt werden können, der einen Domainnamen nutzt, wie Webserver, Mail Server, FTP Server, etc. E-Mail Verschlüsselung selbst kann hierdurch nicht erfolgen.

Die Zertifikate sind 90 Tage lang gültig. Sie können automatisch erneuert werden.

Um herauszufinden, wie Sie Let's Encrypt am besten benutzen, müssen Sie wissen, ob Sie Shell Access (SSH Zugang) haben. Wenn Sie auf Ihre Webseite Zugriff durch ein Kontroll-Panel wie cPanel oder Plesk hast, ist es gut möglich, dass dies nicht der Fall ist. In diesem Fall bitten Sie einfach Ihren Provider darum, Let's Encrypt zu aktivieren. Dies kann eine kleine Summe für die Serviceleistung kosten.

Ein Client, wie beispielsweise der Certbot ACME Client, ermöglicht die Installation für die automatisierte Zertifizierung.

Ohne Shell Access ist Let's Encrypt am einfachsten mithilfe des Supports des Hosting Providers zu erreichen. Der Provider wird an Deiner Stelle das Zertifikat anfordern und installieren sowie aktuell halten. Der Ablauf kommt auf den Provider an.

Sollte der Provider dies nicht unterstützen, kann Let's Encrypt genutzt werden, indem Certbot auf dem eigenen Computer installiert und manuell genutzt wird. Im manuellen Modus laden Sie eine bestimmte Datei auf Ihre Webseite hoch, um zu beweisen, dass Sie Inhaber der Domain sind. Certbot wird dann ein Zertifkat erhalten, welches hochgeladen werden kann. Dies ist allerdings zeitaufwändig und muss alle 60 bis 90 Tage (spätestens nach 90 Tagen) wiederholt werden.

Auch online gibt es Dienste, die den Prozess vereinfachen, wie SSL For Free.

Trotz Let's Encrypt kann es sein, dass die Webseite immer noch automatisch unter http lädt. Sie können die Webseite zwingen, sicher durch https zu laden, indem eine .htaccess Datei genutzt wird. Manche Content Management Systeme wie beispielsweise Joomla! haben außerdem eine eingebaute Funktion hierfür oder wie Wordpress ein Plug-in, das Sie hierfür nutzen können (sofern nicht bei Wordpress direkt inkl. https-Option gehostet).

Für Let's Encrypt gibt es ein RSA-Stammzertifikat in einem Hardware-Sicherheitsmodul, welches jedoch nicht direkt eingesetzt wird. Geplant ist ein ECDSA-Zertifikat für die Zukunft. Es werden zwei Zwischenzertifikate signiert und durch die Zertifizierungsstelle IdenTrust gegengezeichnet. Dadurch können die Zertifikate in Webbrowsern über die Stammzertifizierungsstellen geprüft werden. Let's-Encrypt-Zertifikate sollen künftig in Anwendungen vorinstalliert werden.

Die Zertifizierungsstelle beruht auf einer in Go geschriebenen Software namens Boulder, die als freie Software unter Version 2 der Mozilla Public License (MPL) zugänglich ist, mit einer REST-Programmierschnittstelle. Dank des offenen Standards ACME gibt es aktuell mehr als 30 entsprechende Clients.

Let's Encrypt entstand, als ein Projekt der Electronic Frontier Foundation und der University of Michigan sowie ein Projekt von Mozilla zusammengeführt wurden. Schließlich wurde 2014 die Trägerorganisation ISRG ins Leben gerufen. Mitte 2016 waren bereits über fünf Millionen Zertifikate ausgestellt worden, nicht zuletzt aufgrund von Kooperationen mit Webhosting-Anbietern wie WordPress.com.