AA_12938516_123rf_Rungaroon_Taweeapiradeemunkohg.jpg

© Rungaroon Taweeapiradeemunkohg, 123RF

SSL einfach implementieren mit Let's Encrypt

HTTPS für alle

Das Projekt Let's Encrypt ermöglicht es Ihnen, SSL-Zertifikate kostenlos, schnell und unkompliziert zu erstellen.

Das am häufigsten verwendete Web-Protokoll HTTP verhält sich beim Übertragen von Daten analog zu einer Postkarte oder unverschlüsselten E-Mails: Jeder, der die Daten in die Finger bekommt, kann sie auch lesen. Da Datenpakete unabhängig vom Protokoll nicht den kürzesten Weg nehmen, sondern die schnellste Übertragungsroute, kommt es vor, dass sie trotz einer eigentlich kurzen Distanz einmal um den Globus reisen, bevor sie beim Empfänger ankommen. Dabei lässt es sich nicht vermeiden, dass die Pakete an vielen potenziellen Schnüfflern vorbeiziehen.

Abhilfe schafft hier das Hypertext Transfer Protocol Secure HTTPS. Es implementiert eine verschlüsselte und authentifizierte Kommunikation zwischen Webserver und Browser. Ein Schnüffler sieht dann zwar den Verkehr zwischen den zwei Endstellen, nicht aber dessen Inhalt. Das von Netscape entwickelte Protokoll wurde bereits 1994 mit dem gleichnamigen Browser veröffentlicht. Die Authentifizierung erfolgt beim Aufbau der Verbindung via Handshake mittels Transport Layer Security (TLS) [1].

Das Problem

Sei es nun aufgrund von Wurstigkeit, technischer Unkenntnis oder aus finanziellen Gründen – auch nach über 20 Jahren kommt HTTPS noch nicht flächendeckend zum Einsatz. Rund drei Viertel des Verkehrs im Web laufen weiter über HTTP. Vertrauenswürdige Server-Zertifikate gibt es kaum kostenfrei, für private Server-Betreiber rechnen sich die mit jährlichen Kosten verbundenen Zertifikate oft nicht.

Die von Firmen wie StartSSL [2] oder Organisationen wie CAcert [3] kostenlos erhältlichen Zertifikate stellen viele Betreiber eines V-Servers vor technische Hürden beim Implementieren auf den Server. Alternativ greifen manche zu selbst signierten Zertifikaten, auch als Snakeoil-Certs bekannt. Diese Zertifikate laden die Seite dann zwar mit HTTPS, veranlassen die meisten Webbrowser aber dazu, dem Anwender eine Warnmeldung zu präsentieren. Diese besagt, dass es sich um eine nicht vertrauenswürdige Seite handle, man aber eine Ausnahmegenehmigung erstellen könne (Abbildung 1). Das verunsichert Besucher, die den Betreiber nicht kennen; wiederkehrende Gäste nervt es schlicht. Der Sicherheit dient das nur bedingt, dem Renommee der Seite keinesfalls.

Abbildung 1: Bei selbst signierten und damit nicht vertrauenswürdigen Zertifikaten zeigen die meisten Webbrowser eine Sicherheitswarnung an.

Vertrauenswürdige Zertifikate stellen Dienstleister oder Organisationen aus, die den Status einer Zertifizierungsstelle besitzen, sogenannte Certificate Authorities (CAs). Der Kasten "Was ist eine CA?" erklärt, was es mit den Zertifizierungsstellen auf sich hat. Gilt eine CA als vertrauenswürdig, so übernehmen die Softwarehersteller das Root-Zertifikat in ihre Webbrowser, die dann aufgerufene Webseiten automatisch als entsprechend geschützt erkennen.

Was ist eine CA?

Die Aufgabe einer CA besteht unter anderem darin, öffentliche Schlüssel zu beglaubigen und entsprechende signierte Bescheinigungen auszustellen. Diese digitalen Zertifikate richten sich heute zumeist am X.509-Standard aus. Besuchen Sie eine mit HTTPS verschlüsselte Webseite, können Sie sich durch einen Klick auf das Schloss in der Adresszeile des Browsers (links von der URL) die Eckpunkte des zugrundeliegenden Zertifikats anzeigen lassen.

Die Lösung

Das Projekt Let's Encrypt [4] trat vor rund einem Jahr an, um HTTPS möglichst flächendeckend zu etablieren. Die Initiative wurde als erstes Projekt der neu gegründeten Organisation Internet Security Research Group (ISRG [5]) gestartet und im April 2015 unter den Schirm der Linux Foundation gestellt. Zu den Unterstützern des Projekts zählen Mozilla, die Electronic Frontier Foundation (EFF), Cisco, Akamai, IdenTrust und Forscher der Universität von Michigan; Josh Aas von Mozilla leitet das Team. Völlige Transparenz gilt als eines der obersten Gebote des Projekts – dazu gehören auch regelmäßige Transparenzberichte, der erste davon liegt bereits als PDF vor [6].

Um die Zielsetzung zu erreichen, sieht Let's Encrypt vor, X.509-Zertifikate [7] für TLS kostenlos und möglichst unkompliziert anzubieten. Deren Implementierung und Konfiguration stößt der Admin per Kommandozeile auf dem Server an, Erneuerungen erfolgen automatisch. Das stellt in der Handhabung einen Riesenschritt nach vorne dar und ermöglicht das Implementieren eines Zertifikats für den Webserver, ohne sich vorher intensiv mit Kryptografie und Webserver-Konfiguration befassen zu müssen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Erstes Zertifikat von Let's Encrypt online
    Let's encrypt, die neue Zertifizierungsstelle, will kostenlose Zertifikate ausstellen und den Prozess vereinfachen. Sie hat nun ihre Arbeit aufgenommen und ein erstes Zertifikat veröffentlicht.
  • Der Nächste, bitte!
    Führende Owncloud-Entwickler, darunter der Gründer Frank Karlitschek, überwarfen sich mit dem Kurs des Projekts und haben mit Nextcloud einen Fork gestartet. Der soll ein besseres Gleichgewicht zwischen Unternehmen, Kunden und Nutzern herstellen.
  • SSL-Authentifizierung mit Apache
    Das Login auf Webseiten mittels Nutzernamen und Passwort birgt Gefahren. Für mehr Sicherheit sorgt der Apache-Webserver mit einer zertifikatsbasierten Anmeldung.
  • Shell-Zugriff per Webbrowser
    Eine Shell im Browser? PHPshell und Shell in a Box machen es möglich und erleichtern damit das Verwalten von Webservern auch ohne SSH-Zugang – beispielsweise aus dem nächsten Internet-Café.
  • Vertrauensfragen
    Mit den richtigen Tools und Einstellungen wird E-Mail-Verschlüsselung zum Kinderspiel: S/MIME bildet den Rahmen für die sichere Kommunikation, Thunderbird betätigt sich als Mailclient.
Kommentare

Infos zur Publikation

LU 05/2017: Linux unterwegs

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Knoppix-Live-CD (8.0 LU-Edition) im Uefiboot?
Thomas Weiss, 26.04.2017 20:38, 0 Antworten
Hallo, Da mein Rechner unter Windows 8.1/64Bit ein Soundproblem hat und ich abklären wollte, o...
Grub2 reparieren
Brain Stuff, 26.04.2017 02:04, 3 Antworten
Ein Windows Update hat mir Grub zerschossen ... der Computer startet nicht mehr mit Grub, sondern...
Linux open suse 2,8
Wolfgang Gerhard Zeidler, 18.04.2017 09:17, 2 Antworten
Hallo.bitte um Hilfe bei. Code fuer den Rescue-login open suse2.8 Mfg Yvo
grep und sed , gleicher Regulärer Ausdruck , sed mit falschem Ergebnis.
Josef Federl, 15.04.2017 00:23, 1 Antworten
Daten: dlfkjgkldgjldfgl55.55klsdjfl jfjfjfj8.22fdgddfg {"id":"1","name":"Phase L1","unit":"A",...
IP Cams aufzeichnen?
Bibliothek der Technischen Hochschule Mittelhessen / Giessen, 07.04.2017 09:25, 7 Antworten
Hallo, da nun des öfteren bei uns in der Nachbarschaft eingebrochen wird, würde ich gern mein...