Let’s Encrypt: Initiative von Cisco, Mozilla und EFF bietet kostenlose TLS-Zertifikate

Cisco, Mozilla und Akamai haben in Zusammenarbeit mit der Electronic Frontier Foundation, dem Zertifikate-Anbieter IdenTrust sowie Forschern der University of Michigan eine Initiative gestartet, die die Umstellung von Websites auf sicheres HTTP (HTTPS) erleichtern soll. Dafür haben sie die Certificate Authority Let’s Encrypt gegründet, die Websitebetreibern kostenlose Zertifikate für TLS-Verschlüsselung anbietet.

Verschlüsselte Verbindungen zwischen Browsern und den Servern, die Websites oder webbasierte Anwendungen bereitstellen, verbessern die Privatsphäre im Internet. Für die Betreiber bedeutet die Verschlüsselung allerdings einen Mehraufwand und zusätzliche Kosten, die unter anderem für die benötigten Zertifikate anfallen. Zertifikate wiederum werden benötigt, damit ein Browser der von einem Webserver angebotenen Verschlüsselung vertrauen kann.

„Mit Let’s Encrypt kann jeder mit einem simplen Ein-Klick-Verfahren ein einfaches Server-Zertifikat für seine Domains einrichten“, sagte Josh Aas, Executive Direktor der Internet Research Group, die mit dem Betrieb der Certificate Authority beauftragt wurde. Die Zertifikate sollen im zweiten Halbjahr 2015 zur Verfügung stehen.

Anfänglich wurde Verschlüsselung fast ausschließlich eingesetzt, um vertrauliche Daten, die beispielsweise bei Online-Einkäufen übertragen werden, zu schützen. Sie kann aber auch Identitätsdiebstahl verhindern und staatliche Überwachung erschweren. Der heute verwendete Standard Transport Layer Security (TLS) ist vor allem unter seiner früheren Bezeichnung Secure Socket Layer (SSL) bekannt. Verschlüsselte Webadressen erkannt man daran, dass sie mit „https“ und nicht mit „http“ beginnen.

Ein Unternehmen, das sich schon länger für mehr Verschlüsselung im Internet stark macht, ist Google. Es verschlüsselt nicht nur seine Kerndienste wie Suche, Youtube und Gmail, sondern im Rahmen seines Programms HTTPS-100 auch alle neuen Dienste, die es anbietet. Ziel ist es, Daten nicht nur bei der Übertragung zu verschlüsseln, sondern auch, während sie gespeichert sind.

„Da sind wir noch nicht angekommen, aber wir machen schnelle Fortschritte“, sagte Ilya Gregorik, Web Performance Engineer bei Google, in der vergangenen Woche bei einem Vortrag auf der Konferenz Velocity in Barcelona. HTTPS-100 ist auch Teil einer Kampagne, die Websitebetreiber davon überzeugen soll, dass Verschlüsselung die Performance von Websites nicht beeinträchtigt. Darüber hinaus stuft Google verschlüsselte Sites in seinem Suchmaschinenindex inzwischen höher ein als nicht verschlüsselte.

Kritik an der Verschlüsselung kommt vor allem von Strafverfolgungsbehörden und Geheimdiensten. Sie sehen ihre Möglichkeiten in Gefahr, Kriminelle zu überführen oder Terroristen zu enttarnen. Der neue Chef des britischen Geheimdiensts GCHQ, Robert Hannigan, hatte Anfang des Monats in einem Gastbeitrag für die Financial Times behauptet, das Web habe sich inzwischen zu einem Command-and-Control-Netzwerk für Terroristen entwickelt.

Auch das Interactive Advertising Bureau, der Branchenverband für Online-Werbung, setzt sich für mehr Verschlüsselung im Internet ein. Sie müsse angesichts der zunehmenden Fähigkeiten und Aktivitäten von Angreifern zur Norm werden. Dabei müsse man Probleme bei der Abwehr von Spam oder der Erkennung von Eindringlingen in Netzwerken in Kauf nehmen. Vorrangiges Ziel sei es, das benötige Vertrauen der Nutzer in das Internet wiederherzustellen.

[mit Material von Stephen Shankland, News.com]