Abo
  • Services:

Let's Encrypt: Zertifikate kostenlos und einfach

Eine neue, gemeinnützige Zertifizierungsstelle soll die Verbreitung von HTTPS-Verbindungen fördern. Beteiligt sind neben Mozilla und der EFF auch große Unternehmen wie Akamai und Cisco.

Artikel veröffentlicht am , Hanno Böck
Die Ausstellung von HTTPS-Zertifikaten soll einfacher werden.
Die Ausstellung von HTTPS-Zertifikaten soll einfacher werden. (Bild: Let's encrypt)

Mehrere Firmen und Organisationen wollen eine neue Zertifizierungsstelle gründen, die auf gemeinnütziger Basis kostenlose Zertifikate für HTTPS-Webseiten vergibt. Damit soll die Verbreitung von verschlüsselten Verbindungen gefördert werden. Die neue Zertifizierungsstelle, die den Namen Let's encrypt trägt, wird unter anderem von Mozilla und der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) unterstützt. Auch der Content-Delivery-Netzwerk-Anbieter Akamai und Cisco sind beteiligt.

Gemeinnützige Organisation

Stellenmarkt
  1. Lachmann & Rink GmbH, Freudenberg und Dortmund
  2. SP_Data GmbH & Co. KG, Herford

Die EFF kämpft dafür, dass HTTPS zum Standard im Netz wird. Laut ihrer Einschätzung ist die Ausstellung von Zertifikaten eine der größten Hürden dabei. Diese kosten meist Geld, der Prozess zur Zertifikatserstellung ist oft kompliziert, und die Zertifikate laufen regelmäßig ab und müssen erneuert werden. Let's encrypt will hier ansetzen. Die neue Zertifizierungsstelle soll von der gemeinnützigen Internet Security Research Group (SRG) getragen werden und Zertifikate kostenlos ausstellen. Vor allem aber soll der Prozess der Zertifikatserstellung einfacher werden.

Dafür sollen Tools geschaffen werden, mit denen die Verifizierung der Domains und die Zertifikatserstellung mit wenigen Befehlen gelingt. Weiterhin soll ein neues Protokoll namens ACME (Automated Certificate Management Environment) dafür sorgen, dass die Kommunikation zwischen Server und Zertifizierungsstelle automatisiert wird. Abgelaufene Zertifikate sollen dadurch automatisch ersetzt werden. Die neue Zertifizierungsstelle soll im kommenden Jahr starten und ab Sommer 2015 mit der Ausstellung von Zertifikaten beginnen.

Die neue Zertifizierungsstelle soll dabei möglichst transparent und offen arbeiten. Es soll ein öffentlich einsehbares Register aller ausgestellten und zurückgezogenen Zertifikate geben, das jeder einsehen kann. Weiterhin soll die verwendete Software "so weit wie möglich" als Open Source zur Verfügung gestellt werden. Das dürfte das einzige an der Ankündigung sein, das manchen Bauchschmerzen bereiten wird, denn es ist nicht ganz klar, bei welchen Teilen der Software eine Veröffentlichung nicht möglich sein soll.

Cacert hatte ähnliches Ziel

Let's encrypt ist nicht der erste Versuch, eine Zertifizierungsstelle auf gemeinnütziger Basis zu starten. Es gibt bereits das Projekt Cacert. Im Moment gibt es aber offenbar keine Pläne einer Kooperation zwischen Cacert und Let's encrypt. Cacert ist es nie gelungen, die Voraussetzungen für eine Aufnahme seines Root-Zertifikats in die Browser zu schaffen. Damit ist die Nutzung von Cacert-Zertifikaten bis heute nur von begrenztem Nutzen. Zuletzt war es um das Projekt ruhiger geworden.

Kostenlose Zertifikate können Anwender schon bei StartSSL erhalten, doch dahinter steht kein gemeinnütziges Projekt, sondern eine kommerzielle Firma. StartSSL verdient sein Geld damit, Wildcard- und Extended-Validation-Zertifikate kostenpflichtig zu verkaufen.

Generell gibt es einige grundsätzliche Kritikpunkte am System der TLS-Zertifizierungsstellen. Es gibt davon Hunderte, die alle für beliebige Domains Zertifikate ausstellen können. In der Vergangenheit kam es häufig zum Missbrauch von Zertifikaten. Viele der Probleme des bestehenden Systems lassen sich aber durch neue Technologien wie den HTTP-Public-Key-Pinning-Header oder das von Google entwickelte Certificate-Transparency-System lösen.



Anzeige
Hardware-Angebote
  1. 199€ + Versand
  2. (u. a. Grafikkarten, Monitore, Mainboards)

negecy 22. Nov 2014

Eine Self-signed CA weiß ebenfalls niemand, ob es die "eigene" ist, oder ob in Verbindung...

talibaer 20. Nov 2014

SSL

M. 19. Nov 2014

Das ist aber einzig und ausschliesslich ein Problem des Proxys, der hat verschlüsselte...

quadronom 19. Nov 2014

Na was für ne Überraschung. Bei Akamei lohnt es sich schon fast eher die aufzuzählen, die...

rugel 19. Nov 2014

Too big to fail - war glaube ich die Aussage die es trifft. Der war wahrscheinlich...


Folgen Sie uns
       


Cinebench R20 auf Threadripper 2950X ausprobiert

Cinebench R20 soll mit bis zu 256 Threads umgehen können.

Cinebench R20 auf Threadripper 2950X ausprobiert Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Elektromobilität: Was hat ein Kanu mit Autos zu tun?
    Elektromobilität
    Was hat ein Kanu mit Autos zu tun?

    Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
    Ein Bericht von Dirk Kunde

    1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
    2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
    3. Ventomobil Mit dem Windrad auf Rekordjagd

    Falcon Heavy: Beim zweiten Mal wird alles besser
    Falcon Heavy
    Beim zweiten Mal wird alles besser

    Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
    Von Frank Wunderlich-Pfeiffer und dpa

    1. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
    2. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers
    3. Raumfahrt SpaceX - Die Rückkehr des Drachen

      •  /