Kostenlose SSL-Zertifikate: Let’s Encrypt verlässt Betaphase

Das von der Let’s-Encrypt-Initiative angebotene kostenlose Sicherheitszertifizierungsprogramm hat die am 3. Dezember gestartete öffentliche Betaphase verlassen. Ins Leben gerufen wurde das Projekt im November 2014 von Cisco, Mozilla und Akamai in Zusammenarbeit mit der Electronic Frontier Foundation, dem Zertifikate-Anbieter IdenTrust sowie Forschern der University of Michigan. Ziel ist es, die Umstellung von Websites auf sicheres HTTP (HTTPS) zu erleichtern.

Let’s Encrypt wurde als freie Zertifizierungsstelle (Certificate Authority, CA) gegründet, die von der Internet Security Research Group (ISRG) betrieben wird. „Mit Let’s Encrypt kann jeder mit einem simplen Ein-Klick-Verfahren ein einfaches Server-Zertifikat für seine Domains einrichten“, erklärte Josh Aas, Executive Director der ISRG. Ihr erstes kostenloses TLS-Zertifikat machte es Mitte September letzten Jahres verfügbar.

Seitdem hat Let’s Encrypt über 1,7 Millionen Zertifikate für mehr als 3,8 Millionen Websites ausgestellt, wie es nun mitteilt. „Wir freuen uns, dass wir in den ersten vier Monaten der allgemeinen Verfügbarkeit so schnell wachsen konnten. Wir haben jetzt die Erfahrung und das Vertrauen, um das Projekt aus der Betaphase zu nehmen“, so Aas. „Wir werden weiter daran arbeiten, das Web durch kostenlose Verschlüsselung zu einem sichereren Ort zu machen. Aber wir haben noch einen weiten Weg vor uns, um unser Ziel zu erreichen, 100 Prozent aller Websites zu verschlüsseln.“

Neben dem Ende der Betaphase gab die Initiative bekannt, dass die Gründungsmitglieder Cisco und Akamai ihre Platinum-Unterstützung um drei Jahre verlängert haben. Mit Gemalto habe man zudem einen neuen Gold-Sponsor gefunden. Als neue Silber-Sponsoren konnte Lets Encrypt zudem Hewlett Packard Enterprise, Fastly, Duda und ReliableSite.net gewinnen.

Der einfache Zugang zu den Zertifikaten kommt Websitebetreibern entgegen, die ihren Besuchern ohne großen Mehraufwand und Kosten eine sichere Verschlüsselung anbieten wollen. Anders als früher wird Verschlüsselung nicht mehr nur fast ausschließlich eingesetzt, um vertrauliche Daten, die beispielsweise bei Online-Einkäufen übertragen werden, zu schützen. Sie kann auch Identitätsdiebstahl verhindern und staatliche Überwachung erschweren. Der heute verwendete Standard Transport Layer Security (TLS) ist vor allem unter seiner früheren Bezeichnung Secure Socket Layer (SSL) bekannt. Verschlüsselte Webadressen erkannt man daran, dass sie mit „https“ und nicht mit „http“ beginnen.

Kevin Bocek vom Sicherheitsanbieter Venafi wies in diesem Zusammenhang aber schon im September 2015 auf neue Risiken hin: „Mit mehr Zertifikaten im Einsatz werden Cyberkriminelle erstens versuchen, Schritt zu halten und ebenfalls mehr Zertifikate zu nutzen. Wir haben dies schon bei kostenlos von CloudFlare bereitgestellten Zertifikaten beobachtet. Je mehr Zertifikate für Cyberangriffe genutzt werden, desto schwieriger wird es herauszufinden, wem man noch trauen kann. Zweitens führt der vermehrte Einsatz von Verschlüsselung zu mehr blinden Flecken für Schutzsysteme.“ Cyberkriminelle setzten inzwischen regelmäßig Zertifikate ein, um als vertrauenswürdig zu erscheinen, und versteckten ihre Programme in verschlüsseltem Datenverkehr. Das führe den eigentlichen Zweck von zusätzlicher Verschlüsselung und den Versuch, mit mehr freien Zertifikaten ein vertrauenswürdigeres Internet zu schaffen, ad absurdum.

Dass Boceks Befürchtungen nicht unbegründet sind, zeigte im Januar eine Malvertising-Kampagne, die kostenlose Zertifikate von Let’s Encrypt zur Verteilung von Schadsoftware nutzte. Laut einer Analyse von Trend Micro kompromittierten die Kriminellen eine legitime Website und richteten eine Subdomain dazu ein. Letztere versahen sie mit einem Zertifikat von Let’s Encrypt, um den Anschein zu erwecken, dass es sich um eine seriöse Website handelt. Die Subdomain enthielt manipulierte Anzeigen, die Besucher auf Seiten mit dem Exploit-Kit Angler weiterleiteten, das wiederum eine Banking-Malware installierte.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de