Let’s Encrypt: kostenlose Zertifikate ab September

Das Projekt Let’s Encrypt hat die allgemeine Verfügbarkeit seiner kostenlosen Zertifikate für TSL-Verschlüsselung ab Mitte September angekündigt. Vorher soll ein Probelauf dafür sorgen, dass der öffentliche Start problemlos verläuft.

Schon im Juli sollen die ersten Zertifikate für vorher überprüfte Domains unter streng kontrollierten Bedingungen ausgegeben werden. Diese werden noch nicht gegengezeichnet und daher nur dann gültig sein, wenn das Root-Zertifikat von Let’s Encrypt in der Client-Software installiert ist. Während der Termin allgemeiner Verfügbarkeit näherrückt, will das Projekt die Zahl der mit diesen Einschränkungen ausgegebenen Zertifikate laufend erhöhen.

Der Testlauf soll sicherstellen, dass die Ausgabesysteme sicher, konform und skalierbar sind. Ab der allgemeinen Verfügbarkeit im September will das Projekt seine Systeme für Zertifikatsanforderungen beliebiger Domains öffnen. Dann soll auch eine Cross-Signatur von IdenTrust garantieren, dass die ausgegebenen Zertifikate von den verbreiteten Webbrowsern als vertrauenswürdig erkannt werden.

Let’s Encrypt wurde als Zertifizierungsstelle (Certificate Authority, CA) gegründet, die den Betreibern von Websites kostenlose Zertifikate für die Umstellung auf sicheres HTTP (HTTPS) anbieten soll. Die Initiative starteten Cisco, Mozilla und Akamai in Zusammenarbeit mit der Electronic Frontier Foundation, dem Zertifikate-Anbieter IdenTrust sowie Forschern der University of Michigan. „Mit Let’s Encrypt kann jeder mit einem simplen Ein-Klick-Verfahren ein einfaches Server-Zertifikat für seine Domains einrichten“, versprach Josh Aas, Executive Director der Internet Research Group, die mit dem Betrieb der Zertifizierungsstelle beauftragt wurde.

Der einfache Zugang zu den Zertifikaten kommt Websitebetreibern entgegen, die ihren Besuchern ohne großen Mehraufwand und Kosten eine sichere Verschlüsselung anbieten wollen. Anders als früher wird Verschlüsselung nicht mehr nur fast ausschließlich eingesetzt, um vertrauliche Daten, die beispielsweise bei Online-Einkäufen übertragen werden, zu schützen. Sie kann auch Identitätsdiebstahl verhindern und staatliche Überwachung erschweren. Der heute verwendete Standard Transport Layer Security (TLS) ist vor allem unter seiner früheren Bezeichnung Secure Socket Layer (SSL) bekannt. Verschlüsselte Webadressen erkannt man daran, dass sie mit „https“ und nicht mit „http“ beginnen.

Google verschlüsselt nicht nur eigene Dienste, sondern stuft verschlüsselte Sites in seinem Suchmaschinenindex inzwischen höher ein als nicht verschlüsselte. Entsprechend der Losung HTTPS Everywhere erweitert der Internetkonzern derzeit mit verschlüsselter Anzeigenauslieferung sein Bestreben, so viele Inhalte und Dienste wie möglich zu verschlüsseln, um das Internet „ein wenig sicherer für alle Nutzer“ zu machen. Mozillas Sicherheitsteam schlug sogar vor, verschlüsselte Verbindungen zu einer unabdingbaren Voraussetzung für die Nutzung neuer Web-Techniken zu machen. Dieser Schritt soll dazu beitragen, die Standardversion des Hypertext Transfer Protocol (HTTP) ohne Sicherheitsmerkmale “auszumustern”.