Das von der Let’s-Encrypt-Initiative angebotene kostenlose Sicherheitszertifizierungsprogramm hat die am 3. Dezember gestartete öffentliche Betaphase verlassen. Ins Leben gerufen wurde das Projekt im November 2014 von Cisco, Mozilla und Akamai in Zusammenarbeit mit der Electronic Frontier Foundation, dem Zertifikate-Anbieter IdenTrust sowie Forschern der University of Michigan. Ziel ist es, die Umstellung von Websites auf sicheres HTTP (HTTPS) zu erleichtern.
Let’s Encrypt wurde als freie Zertifizierungsstelle (Certificate Authority, CA) gegründet, die von der Internet Security Research Group (ISRG) betrieben wird. „Mit Let’s Encrypt kann jeder mit einem simplen Ein-Klick-Verfahren ein einfaches Server-Zertifikat für seine Domains einrichten“, erklärte Josh Aas, Executive Director der ISRG. Ihr erstes kostenloses TLS-Zertifikat machte es Mitte September letzten Jahres verfügbar.
Seitdem hat Let’s Encrypt über 1,7 Millionen Zertifikate für mehr als 3,8 Millionen Websites ausgestellt, wie es nun mitteilt. „Wir freuen uns, dass wir in den ersten vier Monaten der allgemeinen Verfügbarkeit so schnell wachsen konnten. Wir haben jetzt die Erfahrung und das Vertrauen, um das Projekt aus der Betaphase zu nehmen“, so Aas. „Wir werden weiter daran arbeiten, das Web durch kostenlose Verschlüsselung zu einem sichereren Ort zu machen. Aber wir haben noch einen weiten Weg vor uns, um unser Ziel zu erreichen, 100 Prozent aller Websites zu verschlüsseln.“
Neben dem Ende der Betaphase gab die Initiative bekannt, dass die Gründungsmitglieder Cisco und Akamai ihre Platinum-Unterstützung um drei Jahre verlängert haben. Mit Gemalto habe man zudem einen neuen Gold-Sponsor gefunden. Als neue Silber-Sponsoren konnte Lets Encrypt zudem Hewlett Packard Enterprise, Fastly, Duda und ReliableSite.net gewinnen.
Der einfache Zugang zu den Zertifikaten kommt Websitebetreibern entgegen, die ihren Besuchern ohne großen Mehraufwand und Kosten eine sichere Verschlüsselung anbieten wollen. Anders als früher wird Verschlüsselung nicht mehr nur fast ausschließlich eingesetzt, um vertrauliche Daten, die beispielsweise bei Online-Einkäufen übertragen werden, zu schützen. Sie kann auch Identitätsdiebstahl verhindern und staatliche Überwachung erschweren. Der heute verwendete Standard Transport Layer Security (TLS) ist vor allem unter seiner früheren Bezeichnung Secure Socket Layer (SSL) bekannt. Verschlüsselte Webadressen erkannt man daran, dass sie mit „https“ und nicht mit „http“ beginnen.
Kevin Bocek vom Sicherheitsanbieter Venafi wies in diesem Zusammenhang aber schon im September 2015 auf neue Risiken hin: „Mit mehr Zertifikaten im Einsatz werden Cyberkriminelle erstens versuchen, Schritt zu halten und ebenfalls mehr Zertifikate zu nutzen. Wir haben dies schon bei kostenlos von CloudFlare bereitgestellten Zertifikaten beobachtet. Je mehr Zertifikate für Cyberangriffe genutzt werden, desto schwieriger wird es herauszufinden, wem man noch trauen kann. Zweitens führt der vermehrte Einsatz von Verschlüsselung zu mehr blinden Flecken für Schutzsysteme.“ Cyberkriminelle setzten inzwischen regelmäßig Zertifikate ein, um als vertrauenswürdig zu erscheinen, und versteckten ihre Programme in verschlüsseltem Datenverkehr. Das führe den eigentlichen Zweck von zusätzlicher Verschlüsselung und den Versuch, mit mehr freien Zertifikaten ein vertrauenswürdigeres Internet zu schaffen, ad absurdum.
Dass Boceks Befürchtungen nicht unbegründet sind, zeigte im Januar eine Malvertising-Kampagne, die kostenlose Zertifikate von Let’s Encrypt zur Verteilung von Schadsoftware nutzte. Laut einer Analyse von Trend Micro kompromittierten die Kriminellen eine legitime Website und richteten eine Subdomain dazu ein. Letztere versahen sie mit einem Zertifikat von Let’s Encrypt, um den Anschein zu erwecken, dass es sich um eine seriöse Website handelt. Die Subdomain enthielt manipulierte Anzeigen, die Besucher auf Seiten mit dem Exploit-Kit Angler weiterleiteten, das wiederum eine Banking-Malware installierte.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Cloud forciert Innovationen
Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.
Neueste Kommentare
4 Kommentare zu Kostenlose SSL-Zertifikate: Let’s Encrypt verlässt Betaphase
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Meiner Meinung nach stellt Let´s Encrypt keine wirkliche Alternative zu gängigen SSL-Lösungen dar. Einfache DV-Zertifikate bekommt man für wenig Geld auch von bewährten und vertauensvollen Zertifizierungsstellen. Ausserdem bietet Let´s Encrypt keinen Kundensupport. Ich finde, dass man ein Produkt, bei dem es um Sicherheit geht, nicht einfach so verkaufen kann, ohne seinen Kunden mit Rat und Tat zur Seite zu stehen
https://magazin.sslmarket.de/inpage/lets-encrypt-vs-basic-dv-von-symantec-ein-vergleich/
Du hast in vielen Punkten Recht, Ernst. Besonders interessant ist die Entwicklung, die Let’s Encrypt anstößt: Hoster bieten kostenloses SSL an. Das ist ein riesen Vorteil, für die Performance, SEO und bietet auch rechtliche Sicherheit. Von daher denke ich, dass ein Mindeststandard, aufbauend auf LE eine sehr gute Idee ist. Und dieser sollte kostenlos sein. Den fehlenden Support müssen dann z.B. die Hoster übernehmen. Wir selbst machen das z.B., indem wir eine 1-Klick Installation der Zertifikate anbieten, diese automatisch erneuern etc. Supportaufwand ist hier auf der basalen Stufen gleich Null: https://raidboxes.de/lets-encrypt-gratis-ssl-zertifikat/
Ich finde es klasse, dass ein Anbieter kostenlos SSL Zertifikate vergibt und damit hilft, das Internet sicherer zu machen. All-inkl bietet Let’s Encrypt Zertifikate sogar integriert in das Backend an und man hat es mit nur wenigen Klicks aktiviert.
Falls hier jemand WordPress mit SSL verschlüsseln möchte, hier ist eine klasse Anleitung: https://wp-ninjas.de/wordpress-https/
Grüße
Jonas
Let’s Encrypt ist meiner Meinung nach der falsche Ansatz, da so wie es abläuft keine sicheren Zertifikate erzeugt werden.
Ohne tiefer einzusteigen ist keine Methode ersichtlich ohne den Client (auch nur für Linux)an ein Zertifikat zu kommen.
Eine Anmeldung, und damit auch Überprüfung des Antragstellers, scheint nicht nötig zu sein, was zu den oben genannten Problemen führt.
Das Stamm-Zertifikat und auch die Organisation befinden sich in USA, wodurch die Sicherheit per se stark eingeschränkt ist.
Ob die Variante des cross-signings ein guter Weg ist, um in die Browser etc. zu kommen ist auch eine Diskussion wert.
Ich persönlich bevorzuge da CAs, die obige Punkte beachten wie z.B. CAcert.
Andreas