Categories: Sicherheit

Kostenlose SSL-Zertifikate: Let’s Encrypt verlässt Betaphase

Das von der Let’s-Encrypt-Initiative angebotene kostenlose Sicherheitszertifizierungsprogramm hat die am 3. Dezember gestartete öffentliche Betaphase verlassen. Ins Leben gerufen wurde das Projekt im November 2014 von Cisco, Mozilla und Akamai in Zusammenarbeit mit der Electronic Frontier Foundation, dem Zertifikate-Anbieter IdenTrust sowie Forschern der University of Michigan. Ziel ist es, die Umstellung von Websites auf sicheres HTTP (HTTPS) zu erleichtern.

Let’s Encrypt wurde als freie Zertifizierungsstelle (Certificate Authority, CA) gegründet, die von der Internet Security Research Group (ISRG) betrieben wird. „Mit Let’s Encrypt kann jeder mit einem simplen Ein-Klick-Verfahren ein einfaches Server-Zertifikat für seine Domains einrichten“, erklärte Josh Aas, Executive Director der ISRG. Ihr erstes kostenloses TLS-Zertifikat machte es Mitte September letzten Jahres verfügbar.

Seitdem hat Let’s Encrypt über 1,7 Millionen Zertifikate für mehr als 3,8 Millionen Websites ausgestellt, wie es nun mitteilt. „Wir freuen uns, dass wir in den ersten vier Monaten der allgemeinen Verfügbarkeit so schnell wachsen konnten. Wir haben jetzt die Erfahrung und das Vertrauen, um das Projekt aus der Betaphase zu nehmen“, so Aas. „Wir werden weiter daran arbeiten, das Web durch kostenlose Verschlüsselung zu einem sichereren Ort zu machen. Aber wir haben noch einen weiten Weg vor uns, um unser Ziel zu erreichen, 100 Prozent aller Websites zu verschlüsseln.“

Neben dem Ende der Betaphase gab die Initiative bekannt, dass die Gründungsmitglieder Cisco und Akamai ihre Platinum-Unterstützung um drei Jahre verlängert haben. Mit Gemalto habe man zudem einen neuen Gold-Sponsor gefunden. Als neue Silber-Sponsoren konnte Lets Encrypt zudem Hewlett Packard Enterprise, Fastly, Duda und ReliableSite.net gewinnen.

Der einfache Zugang zu den Zertifikaten kommt Websitebetreibern entgegen, die ihren Besuchern ohne großen Mehraufwand und Kosten eine sichere Verschlüsselung anbieten wollen. Anders als früher wird Verschlüsselung nicht mehr nur fast ausschließlich eingesetzt, um vertrauliche Daten, die beispielsweise bei Online-Einkäufen übertragen werden, zu schützen. Sie kann auch Identitätsdiebstahl verhindern und staatliche Überwachung erschweren. Der heute verwendete Standard Transport Layer Security (TLS) ist vor allem unter seiner früheren Bezeichnung Secure Socket Layer (SSL) bekannt. Verschlüsselte Webadressen erkannt man daran, dass sie mit „https“ und nicht mit „http“ beginnen.

Kevin Bocek vom Sicherheitsanbieter Venafi wies in diesem Zusammenhang aber schon im September 2015 auf neue Risiken hin: „Mit mehr Zertifikaten im Einsatz werden Cyberkriminelle erstens versuchen, Schritt zu halten und ebenfalls mehr Zertifikate zu nutzen. Wir haben dies schon bei kostenlos von CloudFlare bereitgestellten Zertifikaten beobachtet. Je mehr Zertifikate für Cyberangriffe genutzt werden, desto schwieriger wird es herauszufinden, wem man noch trauen kann. Zweitens führt der vermehrte Einsatz von Verschlüsselung zu mehr blinden Flecken für Schutzsysteme.“ Cyberkriminelle setzten inzwischen regelmäßig Zertifikate ein, um als vertrauenswürdig zu erscheinen, und versteckten ihre Programme in verschlüsseltem Datenverkehr. Das führe den eigentlichen Zweck von zusätzlicher Verschlüsselung und den Versuch, mit mehr freien Zertifikaten ein vertrauenswürdigeres Internet zu schaffen, ad absurdum.

Dass Boceks Befürchtungen nicht unbegründet sind, zeigte im Januar eine Malvertising-Kampagne, die kostenlose Zertifikate von Let’s Encrypt zur Verteilung von Schadsoftware nutzte. Laut einer Analyse von Trend Micro kompromittierten die Kriminellen eine legitime Website und richteten eine Subdomain dazu ein. Letztere versahen sie mit einem Zertifikat von Let’s Encrypt, um den Anschein zu erwecken, dass es sich um eine seriöse Website handelt. Die Subdomain enthielt manipulierte Anzeigen, die Besucher auf Seiten mit dem Exploit-Kit Angler weiterleiteten, das wiederum eine Banking-Malware installierte.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ANZEIGE

Die Cloud forciert Innovationen

Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

5 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

23 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago