Die Initiative Let’s Encrypt startet am 3. Dezember einen öffentlichen Betatest. Ab dem Zeitpunkt kann jedermann ein kostenloses Zertifikat beantragen, das sich für die TLS-Verschlüsselung von Websites einsetzen lässt. Die Anforderung, sich für das Betaprogramm zu registrieren oder auf eine Einladung zu warten, entfällt.
Beides war Voraussetzung für die Teilnahme an der seit 12. September verfügbaren eingeschränkten Beta. Seitdem seien mehr als 11.000 Zertifikate ausgestellt worden, schreibt Josh Aas, Executive Direktor der Internet Security Research Group (ISRG), in einem Blogeintrag. „Diese operative Erfahrung gibt uns die Zuversicht, dass unsere Systeme bereit sind für eine öffentliche Beta.“
Ziel der weiteren Tests ist es, das Verfahren für die Vergabe von Zertifikaten vor allem auf der Client-Seite weiter zu verbessern. „Automation ist der Eckpfeiler unserer Strategie“, ergänzte Aas. „Wir müssen sicherstellen, dass der Client auf einer Vielzahl von Plattformen reibungslos und zuverlässig funktioniert. Wir werten die Rückmeldungen unserer Kunden genau aus und führen Verbesserungen so schnell wie möglich ein.“
Let’s Encrypt wurde als freie Zertifizierungsstelle (Certificate Authority, CA) gegründet, die von der ISRG betrieben wird. Ins Leben gerufen wurde das Projekt vergangenen November von Cisco, Mozilla und Akamai in Zusammenarbeit mit der Electronic Frontier Foundation, dem Zertifikate-Anbieter IdenTrust sowie Forschern der University of Michigan. Ziel ist es, die Umstellung von Websites auf sicheres HTTP (HTTPS) zu erleichtern.
„Mit Let’s Encrypt kann jeder mit einem simplen Ein-Klick-Verfahren ein einfaches Server-Zertifikat für seine Domains einrichten“, versprach Aas im September. Zu dem Zeitpunkt strebte Let’s Encrypt den 16. November als Termin für die allgemeine Verfügbarkeit an. Eigentlich wollte die Zertifizierungsstelle schon Mitte September den Regelbetrieb aufnehmen. Diesen Zeitplan konnte sie jedoch nicht einhalten.
Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.
Der einfache Zugang zu den Zertifikaten kommt Websitebetreibern entgegen, die ihren Besuchern ohne großen Mehraufwand und Kosten eine sichere Verschlüsselung anbieten wollen. Anders als früher wird Verschlüsselung nicht mehr nur fast ausschließlich eingesetzt, um vertrauliche Daten, die beispielsweise bei Online-Einkäufen übertragen werden, zu schützen. Sie kann auch Identitätsdiebstahl verhindern und staatliche Überwachung erschweren. Der heute verwendete Standard Transport Layer Security (TLS) ist vor allem unter seiner früheren Bezeichnung Secure Socket Layer (SSL) bekannt. Verschlüsselte Webadressen erkannt man daran, dass sie mit „https“ und nicht mit „http“ beginnen.
Kevin Bocek vom Sicherheitsanbieter Venafi weist in diesem Zusammenhang aber auch auf neue Risiken hin: „Mit mehr Zertifikaten im Einsatz werden Cyberkriminelle erstens versuchen, Schritt zu halten und ebenfalls mehr Zertifikate zu nutzen. Wir haben dies schon bei kostenlos von CloudFlare bereitgestellten Zertifikaten beobachtet. Je mehr Zertifikate für Cyberangriffe genutzt werden, desto schwieriger wird es herauszufinden, wem man noch trauen kann. Zweitens führt der vermehrte Einsatz von Verschlüsselung zu mehr blinden Flecken für Schutzsysteme.“ Cyberkriminelle setzten inzwischen regelmäßig Zertifikate ein, um als vertrauenswürdig zu erscheinen und versteckten ihre Programme in verschlüsseltem Datenverkehr. Das führe den eigentlichen Zweck von zusätzlicher Verschlüsselung und den Versuch, mit mehr freien Zertifikaten ein vertrauenswürdigeres Internet zu schaffen, ad absurdum.
Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…