Kostenlose SSL-Zertifikate für jeden, das klingt einfach viel zu schön, um wahr zu sein. Obwohl, Moment, das gab es schon mal. Und gibt es immer noch. StartSSL stellt nämlich für jedermann gültige Zertifikate aus. Kostenlos. Domain-validiert und für jedermann erhältlich. So neu ist die Idee also nicht. Nur scheint es StartSSL nie auf den Massenmarkt abgesehen gehabt zu haben, kaum jemand wusste davon, war so mein Gefühl.
SSL? Was hat Snowden da losgetreten?
Nach den Snowden-Enthüllungen gingen die Gespräche um das Thema Verschlüsselung auch in der breiten, weniger technikaffinen Bevölkerungsschicht los. Wie sicher sind meine Daten eigentlich, wer kann sie während des Transfers lesen, wer hat Zugriff auf meine Daten, wenn sie erst mal angekommen sind?
Leider waren SSL-Zertifikate in der Regel ein Privileg für wenige. Einzeldomainzertifikate, die in der Regel die Domain selbst (also bspw. ulfklose.de) und eine Subdomain (also bspw. blog.ulfklose.de oder www.ulfklose.de) absichern, gibt es schon eine ganze Weile kostenlos von StartSSL oder für wenig Geld von bspw. RapidSSL (ca. 30 € im Jahr). Aber die Bestellung und Bereitstellung solcher Zertifikate erfordert einiges an Spezialwissen, das das des Otto-Normal-Nutzers deutlich übersteigt. Und wirklich klar war es den meisten dieser Nutzer wohl auch kaum, wofür er solch ein SSL-Zertifikat überhaupt brauchen könnte. Und sobald es Geld kostet, neigt gerade der Deutsche dazu, es nicht haben zu wollen.
Google fing vor geraumer Zeit damit an, SSL-gesicherte Websites besser zu bewerten, ihr Ranking also höher einzustufen als das von ungesicherten Websites. Aber auch das hat nur wenig an der Verbreitung der SSL-Installationen verändert.
Let’s Encrypt — eine gute Idee
Genau, lasst uns verschlüsseln. Gerade nach den Snowden-Enthüllungen eine mehr als gute Idee, wissen wir doch jetzt mit Gewissheit, dass uns die Geheimdienste dieser Welt gnadenlos ausspionieren. Verhindern lässt sich das nur mit einer adäquaten Verschlüsselung. Hier trat das Projekt Let’s Encrypt auf den Plan.
Zum ersten Mal las ich Anfang 2015 darüber, wenn ich mich nicht irre. Ende 2015 ging das Projekt dann zuerst in eine geschlossene, später dann in eine offene Beta-Phase. Die lief erstaunlich gut, weswegen man sich nun Mitte April dazu entschloss, in die Produktivphase überzugehen.
Let’s Encrypt geht einen anderen, einfacheren Ansatz, SSL-Zertifikate auszustellen. Für den Endbenutzer beschränkt sich das im Idealfall darauf, das Zertifikat einmalig für seine Domain(s) zu beantragen und diese danach regelmäßig, alle drei Monate, automatisiert erneuern zu lassen. Im Gegensatz zu den großen Ausstellern laufen Let’s‑Encrypt-Zertifikate nämlich nach drei Monaten ab, bei den anderen sind es in der Regel wahlweise 1, 2 oder 3 Jahre. Der Vorteil liegt hier auf der Hand: stellt sich heraus, dass jemand solche Zertifikate missbräuchlich verwendet, kann man das Zertifikat nach drei Monaten einfach nicht verlängern lassen. Ist ein Zertifikat nämlich erst mal ausgestellt, kann der Aussteller es zwar zurückziehen, es einfach ungültig werden zu lassen, ist aber sicher. Nicht jeder Client prüft beim Aufruf, ob das Zertifikat nicht vielleicht schon zurückgezogen ist, was allein schon aus Gründen der Performance logisch scheint.
Jetzt ist der Massenmarkt gefragt
Die großen Webhoster sind nun gefragt. Wenn diese Let’s Encrypt implementieren kann in Zukunft jeder kostenlos für all seine Domains SSL-Zertifikate beantragen, bis irgendwann, in einer hoffentlich nicht allzu fernen Zukunft sämtlicher Webtraffic verschlüsselt erfolgt.
Wer das Glück hat, einen eigenen Server zu besitzen und diesen auch selbst administrieren kann, kann aber schon jetzt davon profitieren. Das Web-Control-Panel Froxlor unterstützt Let’s Encrypt bereits, ISPConfig-Benutzer können sich mit einer Erweiterung behelfen. Synology hat mit der Vorstellung von DSM 6.0 ebenfalls eine Unterstützung für Let’s Encrypt nachgerüstet. Viele weitere Projekte kündigten bereits ihre Unterstützung an. Sicherlich wird es noch eine geraume Zeit dauern, bis überall SSL als Standard gilt, aber der erste Schritt ist getan.
Zertifikatsaussteller werden es sicherlich bald schwerer haben, ihre Basiszertifikate an den Mann zu bringen. Solange Let’s Encrypt aber keine Wildcard-Zertifikate anbietet, bleibt wenigstens dieser Markt noch für DV-Zertifikate erhalten. OV und EV bietet Let’s Encrypt (noch?) nicht an, wir müssen uns also um Comodo und Co. nicht sorgen.