AA_12938516_123rf_Rungaroon_Taweeapiradeemunkohg.jpg

© Rungaroon Taweeapiradeemunkohg, 123RF

SSL einfach implementieren mit Let's Encrypt

HTTPS für alle

Das Projekt Let's Encrypt ermöglicht es Ihnen, SSL-Zertifikate kostenlos, schnell und unkompliziert zu erstellen.

Das am häufigsten verwendete Web-Protokoll HTTP verhält sich beim Übertragen von Daten analog zu einer Postkarte oder unverschlüsselten E-Mails: Jeder, der die Daten in die Finger bekommt, kann sie auch lesen. Da Datenpakete unabhängig vom Protokoll nicht den kürzesten Weg nehmen, sondern die schnellste Übertragungsroute, kommt es vor, dass sie trotz einer eigentlich kurzen Distanz einmal um den Globus reisen, bevor sie beim Empfänger ankommen. Dabei lässt es sich nicht vermeiden, dass die Pakete an vielen potenziellen Schnüfflern vorbeiziehen.

Abhilfe schafft hier das Hypertext Transfer Protocol Secure HTTPS. Es implementiert eine verschlüsselte und authentifizierte Kommunikation zwischen Webserver und Browser. Ein Schnüffler sieht dann zwar den Verkehr zwischen den zwei Endstellen, nicht aber dessen Inhalt. Das von Netscape entwickelte Protokoll wurde bereits 1994 mit dem gleichnamigen Browser veröffentlicht. Die Authentifizierung erfolgt beim Aufbau der Verbindung via Handshake mittels Transport Layer Security (TLS) [1].

Das Problem

Sei es nun aufgrund von Wurstigkeit, technischer Unkenntnis oder aus finanziellen Gründen – auch nach über 20 Jahren kommt HTTPS noch nicht flächendeckend zum Einsatz. Rund drei Viertel des Verkehrs im Web laufen weiter über HTTP. Vertrauenswürdige Server-Zertifikate gibt es kaum kostenfrei, für private Server-Betreiber rechnen sich die mit jährlichen Kosten verbundenen Zertifikate oft nicht.

Die von Firmen wie StartSSL [2] oder Organisationen wie CAcert [3] kostenlos erhältlichen Zertifikate stellen viele Betreiber eines V-Servers vor technische Hürden beim Implementieren auf den Server. Alternativ greifen manche zu selbst signierten Zertifikaten, auch als Snakeoil-Certs bekannt. Diese Zertifikate laden die Seite dann zwar mit HTTPS, veranlassen die meisten Webbrowser aber dazu, dem Anwender eine Warnmeldung zu präsentieren. Diese besagt, dass es sich um eine nicht vertrauenswürdige Seite handle, man aber eine Ausnahmegenehmigung erstellen könne (Abbildung 1). Das verunsichert Besucher, die den Betreiber nicht kennen; wiederkehrende Gäste nervt es schlicht. Der Sicherheit dient das nur bedingt, dem Renommee der Seite keinesfalls.

Abbildung 1: Bei selbst signierten und damit nicht vertrauenswürdigen Zertifikaten zeigen die meisten Webbrowser eine Sicherheitswarnung an.

Vertrauenswürdige Zertifikate stellen Dienstleister oder Organisationen aus, die den Status einer Zertifizierungsstelle besitzen, sogenannte Certificate Authorities (CAs). Der Kasten "Was ist eine CA?" erklärt, was es mit den Zertifizierungsstellen auf sich hat. Gilt eine CA als vertrauenswürdig, so übernehmen die Softwarehersteller das Root-Zertifikat in ihre Webbrowser, die dann aufgerufene Webseiten automatisch als entsprechend geschützt erkennen.

Was ist eine CA?

Die Aufgabe einer CA besteht unter anderem darin, öffentliche Schlüssel zu beglaubigen und entsprechende signierte Bescheinigungen auszustellen. Diese digitalen Zertifikate richten sich heute zumeist am X.509-Standard aus. Besuchen Sie eine mit HTTPS verschlüsselte Webseite, können Sie sich durch einen Klick auf das Schloss in der Adresszeile des Browsers (links von der URL) die Eckpunkte des zugrundeliegenden Zertifikats anzeigen lassen.

Die Lösung

Das Projekt Let's Encrypt [4] trat vor rund einem Jahr an, um HTTPS möglichst flächendeckend zu etablieren. Die Initiative wurde als erstes Projekt der neu gegründeten Organisation Internet Security Research Group (ISRG [5]) gestartet und im April 2015 unter den Schirm der Linux Foundation gestellt. Zu den Unterstützern des Projekts zählen Mozilla, die Electronic Frontier Foundation (EFF), Cisco, Akamai, IdenTrust und Forscher der Universität von Michigan; Josh Aas von Mozilla leitet das Team. Völlige Transparenz gilt als eines der obersten Gebote des Projekts – dazu gehören auch regelmäßige Transparenzberichte, der erste davon liegt bereits als PDF vor [6].

Um die Zielsetzung zu erreichen, sieht Let's Encrypt vor, X.509-Zertifikate [7] für TLS kostenlos und möglichst unkompliziert anzubieten. Deren Implementierung und Konfiguration stößt der Admin per Kommandozeile auf dem Server an, Erneuerungen erfolgen automatisch. Das stellt in der Handhabung einen Riesenschritt nach vorne dar und ermöglicht das Implementieren eines Zertifikats für den Webserver, ohne sich vorher intensiv mit Kryptografie und Webserver-Konfiguration befassen zu müssen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Erstes Zertifikat von Let's Encrypt online
    Let's encrypt, die neue Zertifizierungsstelle, will kostenlose Zertifikate ausstellen und den Prozess vereinfachen. Sie hat nun ihre Arbeit aufgenommen und ein erstes Zertifikat veröffentlicht.
  • Der Nächste, bitte!
    Führende Owncloud-Entwickler, darunter der Gründer Frank Karlitschek, überwarfen sich mit dem Kurs des Projekts und haben mit Nextcloud einen Fork gestartet. Der soll ein besseres Gleichgewicht zwischen Unternehmen, Kunden und Nutzern herstellen.
  • SSL-Authentifizierung mit Apache
    Das Login auf Webseiten mittels Nutzernamen und Passwort birgt Gefahren. Für mehr Sicherheit sorgt der Apache-Webserver mit einer zertifikatsbasierten Anmeldung.
  • Shell-Zugriff per Webbrowser
    Eine Shell im Browser? PHPshell und Shell in a Box machen es möglich und erleichtern damit das Verwalten von Webservern auch ohne SSH-Zugang – beispielsweise aus dem nächsten Internet-Café.
  • Vertrauensfragen
    Mit den richtigen Tools und Einstellungen wird E-Mail-Verschlüsselung zum Kinderspiel: S/MIME bildet den Rahmen für die sichere Kommunikation, Thunderbird betätigt sich als Mailclient.
Kommentare

Infos zur Publikation

LU 04/2017: SPEZIAL-DISTRIBUTIONEN

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

WLAN lässt sich nicht einrichten
Werner Hahn, 21.03.2017 14:16, 0 Antworten
Dell Latitude E6510, Ubuntu 16.4, Kabelbox von Telecolumbus. Nach Anklicken des Doppelpfeiles (o...
"Mit Gwenview importieren" funktioniert seit openSuse 42.2 nicht mehr
Wimpy *, 20.03.2017 13:34, 2 Antworten
Bisher konnte ich von Digitalkamera oder SD-Karte oder USB-Stick Fotos mit Gwenview importieren....
Ich habe eine awk Aufgabe und bekomme es nicht so Recht hin
Dennis Hamacher, 10.03.2017 18:27, 1 Antworten
Ich hoffe Ihr könnt mir dabei helfen oder mir zeigen wie der Befehl richtig geschrieben wird. Ich...
Unter Linux Open Suse Leap 42.1 einen Windows Boot/ ISO USB Stick erstellen...
Tim Koetsier, 07.03.2017 15:26, 1 Antworten
Hallo, weiß jemand wie ich oben genanntes Vorhaben in die Tat umsetzen kann ? Wäre echt dankba...
Druckertreiber installieren OpenSuse42.1
Tim Koetsier, 07.03.2017 15:22, 1 Antworten
hallo, kann mir BITTE jemand helfen ich verzweifel so langsam. Habe einen Super Toner von Canon...