Let’s Encrypt: Kostenlose SSL-Zertifikate ab 3. Dezember verfügbar

Die Initiative Let’s Encrypt startet am 3. Dezember einen öffentlichen Betatest. Ab dem Zeitpunkt kann jedermann ein kostenloses Zertifikat beantragen, das sich für die TLS-Verschlüsselung von Websites einsetzen lässt. Die Anforderung, sich für das Betaprogramm zu registrieren oder auf eine Einladung zu warten, entfällt.

Beides war Voraussetzung für die Teilnahme an der seit 12. September verfügbaren eingeschränkten Beta. Seitdem seien mehr als 11.000 Zertifikate ausgestellt worden, schreibt Josh Aas, Executive Direktor der Internet Security Research Group (ISRG), in einem Blogeintrag. „Diese operative Erfahrung gibt uns die Zuversicht, dass unsere Systeme bereit sind für eine öffentliche Beta.“

Mit der Testseite von Let’s Encrypt lässt sich das kostenlose TLS-Zertifikat ausprobieren (Screenshot: ZDNet.de).

Ziel der weiteren Tests ist es, das Verfahren für die Vergabe von Zertifikaten vor allem auf der Client-Seite weiter zu verbessern. „Automation ist der Eckpfeiler unserer Strategie“, ergänzte Aas. „Wir müssen sicherstellen, dass der Client auf einer Vielzahl von Plattformen reibungslos und zuverlässig funktioniert. Wir werten die Rückmeldungen unserer Kunden genau aus und führen Verbesserungen so schnell wie möglich ein.“

Let’s Encrypt wurde als freie Zertifizierungsstelle (Certificate Authority, CA) gegründet, die von der ISRG betrieben wird. Ins Leben gerufen wurde das Projekt vergangenen November von Cisco, Mozilla und Akamai in Zusammenarbeit mit der Electronic Frontier Foundation, dem Zertifikate-Anbieter IdenTrust sowie Forschern der University of Michigan. Ziel ist es, die Umstellung von Websites auf sicheres HTTP (HTTPS) zu erleichtern.

„Mit Let’s Encrypt kann jeder mit einem simplen Ein-Klick-Verfahren ein einfaches Server-Zertifikat für seine Domains einrichten“, versprach Aas im September. Zu dem Zeitpunkt strebte Let’s Encrypt den 16. November als Termin für die allgemeine Verfügbarkeit an. Eigentlich wollte die Zertifizierungsstelle schon Mitte September den Regelbetrieb aufnehmen. Diesen Zeitplan konnte sie jedoch nicht einhalten.

Der einfache Zugang zu den Zertifikaten kommt Websitebetreibern entgegen, die ihren Besuchern ohne großen Mehraufwand und Kosten eine sichere Verschlüsselung anbieten wollen. Anders als früher wird Verschlüsselung nicht mehr nur fast ausschließlich eingesetzt, um vertrauliche Daten, die beispielsweise bei Online-Einkäufen übertragen werden, zu schützen. Sie kann auch Identitätsdiebstahl verhindern und staatliche Überwachung erschweren. Der heute verwendete Standard Transport Layer Security (TLS) ist vor allem unter seiner früheren Bezeichnung Secure Socket Layer (SSL) bekannt. Verschlüsselte Webadressen erkannt man daran, dass sie mit „https“ und nicht mit „http“ beginnen.

Kevin Bocek vom Sicherheitsanbieter Venafi weist in diesem Zusammenhang aber auch auf neue Risiken hin: „Mit mehr Zertifikaten im Einsatz werden Cyberkriminelle erstens versuchen, Schritt zu halten und ebenfalls mehr Zertifikate zu nutzen. Wir haben dies schon bei kostenlos von CloudFlare bereitgestellten Zertifikaten beobachtet. Je mehr Zertifikate für Cyberangriffe genutzt werden, desto schwieriger wird es herauszufinden, wem man noch trauen kann. Zweitens führt der vermehrte Einsatz von Verschlüsselung zu mehr blinden Flecken für Schutzsysteme.“ Cyberkriminelle setzten inzwischen regelmäßig Zertifikate ein, um als vertrauenswürdig zu erscheinen und versteckten ihre Programme in verschlüsseltem Datenverkehr. Das führe den eigentlichen Zweck von zusätzlicher Verschlüsselung und den Versuch, mit mehr freien Zertifikaten ein vertrauenswürdigeres Internet zu schaffen, ad absurdum.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.