AlexS

Zu Beginn klären wir erstmal den Begriff „Zertifikat“: Ein Zertifikat bestätigt die Echtheit der in dem Zertifikat ausgestellten Identität bzw. Angaben. Wenn man sich Zertifikate selbst ausstellt und sich selbst seine eigene Identität bestätigt, ist das natürlich nicht besonders vertrauenswürdig. Deshalb werden solche selbstsignierten Zertifikate in der Regel nicht so ohne Weiteres vom „Gegenüber“ anerkannt. Dieser Gegenüber kann z. B. bei E-Mail-Verschlüsselung das Mail-Gateway oder der Mail-Client des Kommunikationspartners sein. Ein anderes Beispiel ist das Surfen im Internet, bei dem man eine Website aufruft. Der eigene Internet-Browser ist in diesem Fall der Gegenüber des angefragten Webservers. Wenn auf dem Webserver ein selbstausgestelltes Zertifikat (für die Verschlüsselung https) verwendet wird, sieht der Browser in der Regel rot: „Kenn ich nicht, trau ich nicht, davor muss ich die Nutzer warnen“.

Was musste man als Website-Betreiber in der Vergangenheit tun, um das zu verhindern? Man musste sich bei einem anerkannten Trustcenter ein SSL/TLS-Zertifikat kaufen, dem die Browser dann auch automatisch vertrauen. Dahinter steckt natürlich ein gewisser Validierungsprozess bzw. -aufwand, weil dieses Trustcenter ja dafür gerade stehen muss, dass die Angaben auch stimmen, die mit dem ausgestellten Zertifikat bestätigt werden. Für den Betreiber einer abzusichernden Webseite bestehen also zwei Herausforderungen: Kosten + Zeitaufwand.

Häufig ist es nämlich notwendig, vorläufige Zertifikate oder Schlüssel händisch auf Systemen einzurichten, zu hinterlegen und temporär von außen zugänglich zu machen. Dazu sind Kenntnisse auf der Kommandozeilenebene notwendig. Im Gegensatz dazu liefert die Integration von Let´s Enrypt in Sophos UTM und andere Produkte liefert eine grafische Oberfläche, verhindert Fehler durch Kontrolle der Abfragewerte und automatisiert den Prozess. Und das regelmäßig neu, weil die kostenfreien Zertifikate in der Regel nur für 90 Tage ausgestellt werden. Wegen des manuellen Aufwandes war es in der Vergangenheit oftmals üblich, dass Webseitenbetreiber auf Absicherung mittels SSL/TLS (also https) verzichtet haben.

Seit den öffentlichen Enthüllungen von Edward Snowden und Co. hat sich dies aber dramatisch verändert. Auch aufgrund rechtlicher Vorgaben findet man heute deutlich weniger Websites, mit den unverschlüsselt kommuniziert wird. Seit dem Jahr 2018 sind auf der Initiative von Internetgrößen wie Google 60% des gesamten Internetverkehrs verschlüsselt. Betreiber von Webseiten ohne Verschlüsselung und gültigem Zertifikat werden bei Suchmaschinentreffern niedriger gelistet und seltener besucht.

Wer ist oder was macht nun Let’s Encrypt™?

Let’s Encrypt ist ein nicht-kommerzielles Trustcenter mit Sitz in San Francisco, das kostenlose SSL/TLS-Zertifikate ausstellt. Gegründet wurde es von einigen Internet-Größen wie z. B. Mozilla mit dem Ziel, das Internet ohne großen Kostenaufwand für alle sicher(er) zu machen. Das Trustcenter finanziert sich großteils durch Spenden.

Die CA (Certificate Authority – Zertifikatsausgabestelle) von Let‘ Encrypt wird von allen gängigen Browsern als vertrauenswürdig eingestuft, sodass ausgestellten Zertifikaten automatisch vertraut wird. Im Normalfall muss man sich für die Zertifikatsbeantragung und -ausstellung einen Client installieren. Zunehmend wird die Technologie für die Kommunikation zu Let’s Encrypt und den automatischen Bezug von SSL/TLS-Zertifikaten aber auch in der Firmware von Routern, Firewalls (wie Sophos SG/UTM) und andere integriert. Die kostenlosen Zertifikate sind im Gegensatz zu kostenpflichtigen Varianten von Let’s Encrypt und anderen Trustcentern nur 3 Monate gültig, können aber automatisch verlängert bzw. genauer gesagt durch ein neues ersetzt werden.