Let's Encrypt: Kostenfreie Zertifikate für alle in der offenen Beta
Let's Encrypt hat die geschlossene Beta verlassen: Wer schon immer ein Cross-signiertes Zertifikat für seine eigene Domain beantragen wollte, aber vor Bürokratie und Kosten zurückgeschreckt ist, kann jetzt in der offenen Beta(öffnet im neuen Fenster) aktiv werden. Während der geschlossenen Beta hat Let's Encrypt nach eigenen Angaben bereits mehr als 26.000 Zertifikate ausgegeben. Außerdem hat die Initiative Facebook als neuen Sponsor gewonnen.
Let's Encrypt will nicht nur kostenfreie Zertifikate ausgeben, sondern diesen Prozess auch automatisieren. Derzeit sind die ausgestellten Zertifikate für 90 Tage gültig und müssen per Kommandozeilenbefehl oder Cronjob manuell erneuert werden. Künftig soll die Gültigkeit auf 30 Tage heruntergesetzt werden - dafür aktualisieren sich die Zertifikate dann vollautomatisch. Mit dem kürzeren Gültigkeitszeitraum will das Projekt auf kompromittierte oder missbräuchlich ausgestellte Zertifikate besser reagieren können. Provider können diesen Prozess für ihre Kunden auch automatisieren, wenn sie Let's Encrypt nativ anbieten(öffnet im neuen Fenster) .
Wer sich ein Zertifikat ausstellen lassen will, muss auf seinem Server den Let's Encrypt Client aus dem Github-Repo(öffnet im neuen Fenster) installieren. Der Client erfordert Python 2.6 oder 2.7 - die Unterstützung für Version 3 soll mit der offenen Beta jetzt nachgeliefert werden. Er läuft derzeit auf Servern mit Debian Version 8 oder neuer inklusive seiner Derivate oder Ubuntu ab Version 12.04. Der Client lädt einen eigenen kleinen Webserver, um die Inhaberschaft der Domain zu beweisen. Eine experimentelle Version des Programms läuft auch unter Nginx(öffnet im neuen Fenster) .
Keine Organization-Validation
Das Projekt unterstützt derzeit die Ausstellung von Domain-Validated-Zertifikaten. Organization-Validation-Zertifikate oder Extended-Validation-Zertifikate prüfen zusätzlich zur Inhaberschaft der Domain noch die im Zertifikat enthaltenen Angaben über den Betreiber, wie etwa den Firmennamen. Automatische Wildcard-Zertifikate für Subdomains gibt es bislang ebenfalls nicht - mit Subject-Alternative-Names können jedoch zehn Subdomains abgedeckt werden. Für die meisten Privatanwender dürfte der derzeitige Funktionsumfang ausreichend sein.
Let's Encrypt basiert auf dem selbst entwickelten Protokoll Automated Certificate Management Environment (ACME)(öffnet im neuen Fenster) . Installiert ein Nutzer den Let's-Encrypt-Client und fordert ein Zertifikat an, erstellt der Client auf dem Server eine bestimmte Datei. Ist diese Datei vorhanden, gilt die Inhaberschaft als bewiesen und das Zertifikat wird ausgestellt. ACME liegt derzeit als Internet-Draft der IETF vor.
Wichtiger Cross-Sign
Let's Encrypt hatte in den vergangenen Monaten das Root-Zertifikat erstellt und den Cross-Sign mit Identtrust abgeschlossen. Dieser ist für die Akzeptanz des Projekts von großer Bedeutung. Denn bereits heute können Nutzer selbst signierte, kostenfreie Zertifikate benutzen. Webseitenbesucher bekommen dann jedoch zunächst eine Warnung angezeigt und müssen für das Zertifikat eine Ausnahmegenehmigung in ihrem Browser hinzufügen. Weil die Zertifikate von Identtrust aber bereits von allen gängigen Browsern akzeptiert werden, gilt dies automatisch auch für die von Let's Encrypt erstellten Zertifikate.
Erste Nutzer zeigen sich von dem praktischen Handling überzeugt(öffnet im neuen Fenster) . Sind die Voraussetzungen auf Serverseite gegeben, scheint die Einrichtung eines Zertifikats tatsächlich unproblematisch zu sein. Wer jetzt an der offenen Beta teilnehmen will, sollte lediglich daran denken, die erstellten Zertifikate rechtzeitig zu erneuern.
Das Projekt wird von der Internet Security Research Group in Kalifornien betrieben. Diese wird unterstützt von Mozilla, der Electronic Frontier Foundation (EFF), Cisco, Akamai, der Stanford Law School und CoreOS.