Das von der Let’s-Encrypt-Initiative angebotene kostenlose Sicherheitszertifizierungsprogramm hat die am 3. Dezember gestartete öffentliche Betaphase verlassen. Ins Leben gerufen wurde das Projekt im November 2014 von Cisco, Mozilla und Akamai in Zusammenarbeit mit der Electronic Frontier Foundation, dem Zertifikate-Anbieter IdenTrust sowie Forschern der University of Michigan. Ziel ist es, die Umstellung von Websites auf sicheres HTTP (HTTPS) zu erleichtern.
Seitdem hat Let’s Encrypt über 1,7 Millionen Zertifikate für mehr als 3,8 Millionen Websites ausgestellt, wie es nun mitteilt. „Wir freuen uns, dass wir in den ersten vier Monaten der allgemeinen Verfügbarkeit so schnell wachsen konnten. Wir haben jetzt die Erfahrung und das Vertrauen, um das Projekt aus der Betaphase zu nehmen“, so Aas. „Wir werden weiter daran arbeiten, das Web durch kostenlose Verschlüsselung zu einem sichereren Ort zu machen. Aber wir haben noch einen weiten Weg vor uns, um unser Ziel zu erreichen, 100 Prozent aller Websites zu verschlüsseln.“
Neben dem Ende der Betaphase gab die Initiative bekannt, dass die Gründungsmitglieder Cisco und Akamai ihre Platinum-Unterstützung um drei Jahre verlängert haben. Mit Gemalto habe man zudem einen neuen Gold-Sponsor gefunden. Als neue Silber-Sponsoren konnte Lets Encrypt zudem Hewlett Packard Enterprise, Fastly, Duda und ReliableSite.net gewinnen.
Der einfache Zugang zu den Zertifikaten kommt Websitebetreibern entgegen, die ihren Besuchern ohne großen Mehraufwand und Kosten eine sichere Verschlüsselung anbieten wollen. Anders als früher wird Verschlüsselung nicht mehr nur fast ausschließlich eingesetzt, um vertrauliche Daten, die beispielsweise bei Online-Einkäufen übertragen werden, zu schützen. Sie kann auch Identitätsdiebstahl verhindern und staatliche Überwachung erschweren. Der heute verwendete Standard Transport Layer Security (TLS) ist vor allem unter seiner früheren Bezeichnung Secure Socket Layer (SSL) bekannt. Verschlüsselte Webadressen erkannt man daran, dass sie mit „https“ und nicht mit „http“ beginnen.
Kevin Bocek vom Sicherheitsanbieter Venafi wies in diesem Zusammenhang aber schon im September 2015 auf neue Risiken hin: „Mit mehr Zertifikaten im Einsatz werden Cyberkriminelle erstens versuchen, Schritt zu halten und ebenfalls mehr Zertifikate zu nutzen. Wir haben dies schon bei kostenlos von CloudFlare bereitgestellten Zertifikaten beobachtet. Je mehr Zertifikate für Cyberangriffe genutzt werden, desto schwieriger wird es herauszufinden, wem man noch trauen kann. Zweitens führt der vermehrte Einsatz von Verschlüsselung zu mehr blinden Flecken für Schutzsysteme.“ Cyberkriminelle setzten inzwischen regelmäßig Zertifikate ein, um als vertrauenswürdig zu erscheinen, und versteckten ihre Programme in verschlüsseltem Datenverkehr. Das führe den eigentlichen Zweck von zusätzlicher Verschlüsselung und den Versuch, mit mehr freien Zertifikaten ein vertrauenswürdigeres Internet zu schaffen, ad absurdum.
Dass Boceks Befürchtungen nicht unbegründet sind, zeigte im Januar eine Malvertising-Kampagne, die kostenlose Zertifikate von Let’s Encrypt zur Verteilung von Schadsoftware nutzte. Laut einer Analyse von Trend Micro kompromittierten die Kriminellen eine legitime Website und richteten eine Subdomain dazu ein. Letztere versahen sie mit einem Zertifikat von Let’s Encrypt, um den Anschein zu erwecken, dass es sich um eine seriöse Website handelt. Die Subdomain enthielt manipulierte Anzeigen, die Besucher auf Seiten mit dem Exploit-Kit Angler weiterleiteten, das wiederum eine Banking-Malware installierte.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.