Let’s encrypt!

Von vielen unbemerkt, hat sich in der letzten Woche im Internet eine kleine Revolution ereignet. Seit dem 3. Dezember ist es das erste Mal in der inzwischen über 25-jährigen Geschichte des Webs möglich, sich einfach und kostenlos ein Server-Zertifikat ausstellen zu lassen, das von (fast) allen Webbrowsern akzeptiert wird.

Mein Blog verwendet ab sofort ein von Let's encrypt signiertes SSL-Zertifikat.

Mein Blog verwendet ab sofort ein von Let’s encrypt signiertes SSL-Zertifikat.

Das Open-Source-Projekt Let’s encrypt ermöglicht über eine offene Schnittstelle in Sekunden die Erstellung von beliebig vielen Zertifikaten für eigene Domains über einen automatisierten Verifikationsprozess. Let’s encrypt ist ein gemeinsames Projekt von Mozilla, der EFF und weiteren Partnern. Bei den Zertifikaten handelt es sich um moderne RSA-Zertifikate mit einer Schlüssellänge von 2048 Bit, was als sehr sicher gilt. Bemerkenswert ist, dass die Schlüssel bei der Ausstellung des Zertifikats auf dem eigenen Server generiert werden – somit verlässt der private Schlüssel nie den eigenen Rechner.

Mit dem Let’s-encrypt-Client ist die Konfiguration von Linux-Servern so einfach wie nie. Nicht einmal eine E-Mail-Bestätigung ist nötig:

sudo apt-get install lets-encrypt
lets-encrypt adrian-jagusch.de

Da wir zur Server-Verwaltung Parallels’ Plesk einsetzen, war die Einrichtung des Zertifikats sogar noch leichter: Der Hersteller hat nämlich pünktlich zum Start der Let’s-encypt-Public-Beta ein Plugin zur Verfügung gestellt, mit dem sich die Zertifikate über die Admin-Oberfläche mit nur einem Klick generieren lassen.

In diesem Zusammenhang hat es sich wirklich ausgezahlt, dass wir bei Jumax seit dem letzten Jahr auf eigene V-Server setzen und nicht nur Webhosting-Pakete nutzen. Während man bei Strato, 1und1, Azure-Websites & Co. noch immer auf die (viel zu) teuren CAs (Certificate Authorities) angewiesen ist (die sich in der Vergangenheit unter Sicherheitsaspekten nicht gerade mit Ruhm bekleckert haben), verwenden Jumax, die Jumaxcloud und mein Blog seit dem Wochenende eigene, kostenlose und mindestens genauso sicher signierte SSL-Zertifikate.

Einziger Wermutstropfen ist, dass das Zertifikat von Windows-XP-Rechnern nicht akzeptiert wird (Firefox-Nutzer betrifft das jedoch nicht, da der Browser seine eigene Signaturen-Sammlung mitbringt). Der Anteil an Besuchern meiner Webseite mit XP ist jedoch inzwischen so verschwindend gering, dass ich das nicht nur in Kauf nehme, sondern sogar ab sofort den Aufruf meiner Webseite ohne SSL unterbinde.

Tags:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.