Kostenlose SSL-Zertifikate für alle

Kos­ten­lo­se SSL-Zer­ti­fi­ka­te für jeden, das klingt ein­fach viel zu schön, um wahr zu sein. Obwohl, Moment, das gab es schon mal. Und gibt es immer noch. StartS­SL stellt näm­lich für jeder­mann gül­ti­ge Zer­ti­fi­ka­te aus. Kos­ten­los. Domain-vali­diert und für jeder­mann erhält­lich. So neu ist die Idee also nicht. Nur scheint es StartS­SL nie auf den Mas­sen­markt abge­se­hen gehabt zu haben, kaum jemand wuss­te davon, war so mein Gefühl.

SSL? Was hat Snowden da losgetreten?

Nach den Snow­den-Ent­hül­lun­gen gin­gen die Gesprä­che um das The­ma Ver­schlüs­se­lung auch in der brei­ten, weni­ger tech­ni­kaf­fi­nen Bevöl­ke­rungs­schicht los. Wie sicher sind mei­ne Daten eigent­lich, wer kann sie wäh­rend des Trans­fers lesen, wer hat Zugriff auf mei­ne Daten, wenn sie erst mal ange­kom­men sind?

Lei­der waren SSL-Zer­ti­fi­ka­te in der Regel ein Pri­vi­leg für weni­ge. Ein­zel­do­main­zer­ti­fi­ka­te, die in der Regel die Domain selbst (also bspw. ulfklose.de) und eine Sub­do­main (also bspw. blog.ulfklose.de oder www.ulfklose.de) absi­chern, gibt es schon eine gan­ze Wei­le kos­ten­los von StartS­SL oder für wenig Geld von bspw. RapidSSL (ca. 30 € im Jahr). Aber die Bestel­lung und Bereit­stel­lung sol­cher Zer­ti­fi­ka­te erfor­dert eini­ges an Spe­zi­al­wis­sen, das das des Otto-Nor­mal-Nut­zers deut­lich über­steigt. Und wirk­lich klar war es den meis­ten die­ser Nut­zer wohl auch kaum, wofür er solch ein SSL-Zer­ti­fi­kat über­haupt brau­chen könn­te. Und sobald es Geld kos­tet, neigt gera­de der Deut­sche dazu, es nicht haben zu wollen.

Goog­le fing vor gerau­mer Zeit damit an, SSL-gesi­cher­te Web­sites bes­ser zu bewer­ten, ihr Ran­king also höher ein­zu­stu­fen als das von unge­si­cher­ten Web­sites. Aber auch das hat nur wenig an der Ver­brei­tung der SSL-Instal­la­tio­nen verändert.

Let’s Encrypt — eine gute Idee

Genau, lasst uns ver­schlüs­seln. Gera­de nach den Snow­den-Ent­hül­lun­gen eine mehr als gute Idee, wis­sen wir doch jetzt mit Gewiss­heit, dass uns die Geheim­diens­te die­ser Welt gna­den­los aus­spio­nie­ren. Ver­hin­dern lässt sich das nur mit einer adäqua­ten Ver­schlüs­se­lung. Hier trat das Pro­jekt Let’s Encrypt auf den Plan.

Zum ers­ten Mal las ich Anfang 2015 dar­über, wenn ich mich nicht irre. Ende 2015 ging das Pro­jekt dann zuerst in eine geschlos­se­ne, spä­ter dann in eine offe­ne Beta-Pha­se. Die lief erstaun­lich gut, wes­we­gen man sich nun Mit­te April dazu ent­schloss, in die Pro­duk­tiv­pha­se überzugehen.

Let’s Encrypt geht einen ande­ren, ein­fa­che­ren Ansatz, SSL-Zer­ti­fi­ka­te aus­zu­stel­len. Für den End­be­nut­zer beschränkt sich das im Ide­al­fall dar­auf, das Zer­ti­fi­kat ein­ma­lig für sei­ne Domain(s) zu bean­tra­gen und die­se danach regel­mä­ßig, alle drei Mona­te, auto­ma­ti­siert erneu­ern zu las­sen. Im Gegen­satz zu den gro­ßen Aus­stel­lern lau­fen Let’s‑Encrypt-Zertifikate näm­lich nach drei Mona­ten ab, bei den ande­ren sind es in der Regel wahl­wei­se 1, 2 oder 3 Jah­re. Der Vor­teil liegt hier auf der Hand: stellt sich her­aus, dass jemand sol­che Zer­ti­fi­ka­te miss­bräuch­lich ver­wen­det, kann man das Zer­ti­fi­kat nach drei Mona­ten ein­fach nicht ver­län­gern las­sen. Ist ein Zer­ti­fi­kat näm­lich erst mal aus­ge­stellt, kann der Aus­stel­ler es zwar zurück­zie­hen, es ein­fach ungül­tig wer­den zu las­sen, ist aber sicher. Nicht jeder Cli­ent prüft beim Auf­ruf, ob das Zer­ti­fi­kat nicht viel­leicht schon zurück­ge­zo­gen ist, was allein schon aus Grün­den der Per­for­mance logisch scheint.

Jetzt ist der Massenmarkt gefragt

Die gro­ßen Web­hos­ter sind nun gefragt. Wenn die­se Let’s Encrypt imple­men­tie­ren kann in Zukunft jeder kos­ten­los für all sei­ne Domains SSL-Zer­ti­fi­ka­te bean­tra­gen, bis irgend­wann, in einer hof­fent­lich nicht all­zu fer­nen Zukunft sämt­li­cher Web­traf­fic ver­schlüs­selt erfolgt.

Wer das Glück hat, einen eige­nen Ser­ver zu besit­zen und die­sen auch selbst admi­nis­trie­ren kann, kann aber schon jetzt davon pro­fi­tie­ren. Das Web-Con­trol-Panel Frox­lor unter­stützt Let’s Encrypt bereits, ISPCon­fig-Benut­zer kön­nen sich mit einer Erwei­te­rung behel­fen. Syn­olo­gy hat mit der Vor­stel­lung von DSM 6.0 eben­falls eine Unter­stüt­zung für Let’s Encrypt nach­ge­rüs­tet. Vie­le wei­te­re Pro­jek­te kün­dig­ten bereits ihre Unter­stüt­zung an. Sicher­lich wird es noch eine gerau­me Zeit dau­ern, bis über­all SSL als Stan­dard gilt, aber der ers­te Schritt ist getan.

Zer­ti­fi­kats­aus­stel­ler wer­den es sicher­lich bald schwe­rer haben, ihre Basis­zer­ti­fi­ka­te an den Mann zu brin­gen. Solan­ge Let’s Encrypt aber kei­ne Wild­card-Zer­ti­fi­ka­te anbie­tet, bleibt wenigs­tens die­ser Markt noch für DV-Zer­ti­fi­ka­te erhal­ten. OV und EV bie­tet Let’s Encrypt (noch?) nicht an, wir müs­sen uns also um Como­do und Co. nicht sorgen.