„Let’s Encrypt“-Initiative stellt erstes kostenloses TLS-Zertifikat aus

Die Initiative Let’s Encrypt hat ihr erstes Zertifikat bereitgestellt, das Websitebetreiber kostenlos für TLS-Verschlüsselung einsetzen können. Ins Leben gerufen wurde das Projekt vergangenen November von Cisco, Mozilla und Akamai in Zusammenarbeit mit der Electronic Frontier Foundation, dem Zertifikate-Anbieter IdenTrust sowie Forschern der University of Michigan. Ziel ist es, die Umstellung von Websites auf sicheres HTTP (HTTPS) zu erleichtern.

Noch stufen Browser das Zertifikat von Haus aus nicht als vertrauenswürdig ein, weil es nicht gegengezeichnet ist. Das soll sich aber im Lauf des nächsten Monats ändern, wie es in einem Blogbeitrag heißt. Aktuell muss noch das zugehörige Root-Zertifikat von Let’s Encrypt in der Client-Software installiert sein, damit das Zertifikat als gültig angesehen wird. Dann lässt sich eine Testseite über HTTPS öffnen.

Nach eigenen Angaben verhandelt die Initiative derzeit mit Apple, Google, Microsoft und Mozilla, um die Integration in deren Browser voranzutreiben. In den nächsten Monaten will es Teilnehmer des Betaprogramms mit Zertifikaten versorgen. Für das Programm können sich alle interessierten Sitebetreiber registrieren.

Let’s Encrypt wurde als freie Zertifizierungsstelle (Certificate Authority, CA) gegründet, die von der Internet Security Research Group (ISRG) betrieben wird. „Mit Let’s Encrypt kann jeder mit einem simplen Ein-Klick-Verfahren ein einfaches Server-Zertifikat für seine Domains einrichten“, verspricht Josh Aas, Executive Director der ISRG. Die jetzt erfolgte Veröffentlichung des ersten Zertifikats sei ein „wichtiger Meilenstein“ für die Gruppe.

Eigentlich wollte die Zertifizierungsstelle schon Mitte September den Regelbetrieb aufnehmen. Diesen Zeitplan konnte sie jedoch nicht einhalten. Inzwischen strebt sie den 16. November als Termin für die allgemeine Verfügbarkeit an.

Der einfache Zugang zu den Zertifikaten kommt Websitebetreibern entgegen, die ihren Besuchern ohne großen Mehraufwand und Kosten eine sichere Verschlüsselung anbieten wollen. Anders als früher wird Verschlüsselung nicht mehr nur fast ausschließlich eingesetzt, um vertrauliche Daten, die beispielsweise bei Online-Einkäufen übertragen werden, zu schützen. Sie kann auch Identitätsdiebstahl verhindern und staatliche Überwachung erschweren. Der heute verwendete Standard Transport Layer Security (TLS) ist vor allem unter seiner früheren Bezeichnung Secure Socket Layer (SSL) bekannt. Verschlüsselte Webadressen erkannt man daran, dass sie mit „https“ und nicht mit „http“ beginnen.

Kevin Bocek vom Sicherheitsanbieter Venafi weist in diesem Zusammenhang aber auch auf neue Risiken hin: „Mit mehr Zertifikaten im Einsatz werden Cyberkriminelle erstens versuchen, Schritt zu halten und ebenfalls mehr Zertifikate zu nutzen. Wir haben dies schon bei kostenlos von CloudFlare bereitgestellten Zertifikaten beobachtet. Je mehr Zertifikate für Cyberangriffe genutzt werden, desto schwieriger wird es herauszufinden, wem man noch trauen kann. Zweitens führt der vermehrte Einsatz von Verschlüsselung zu mehr blinden Flecken für Schutzsysteme.“ Cyberkriminelle setzten inzwischen regelmäßig Zertifikate ein, um als vertrauenswürdig zu erscheinen, und versteckten ihre Programme in verschlüsseltem Datenverkehr. Das führe den eigentlichen Zweck von zusätzlicher Verschlüsselung und den Versuch, mit mehr freien Zertifikaten ein vertrauenswürdigeres Internet zu schaffen, ad absurdum.

[mit Material von Charlie Osborne, ZDNet.com]