AA_12938516_123rf_Rungaroon_Taweeapiradeemunkohg.jpg

© Rungaroon Taweeapiradeemunkohg, 123RF

SSL einfach implementieren mit Let's Encrypt

HTTPS für alle

Das Projekt Let's Encrypt ermöglicht es Ihnen, SSL-Zertifikate kostenlos, schnell und unkompliziert zu erstellen.

Das am häufigsten verwendete Web-Protokoll HTTP verhält sich beim Übertragen von Daten analog zu einer Postkarte oder unverschlüsselten E-Mails: Jeder, der die Daten in die Finger bekommt, kann sie auch lesen. Da Datenpakete unabhängig vom Protokoll nicht den kürzesten Weg nehmen, sondern die schnellste Übertragungsroute, kommt es vor, dass sie trotz einer eigentlich kurzen Distanz einmal um den Globus reisen, bevor sie beim Empfänger ankommen. Dabei lässt es sich nicht vermeiden, dass die Pakete an vielen potenziellen Schnüfflern vorbeiziehen.

Abhilfe schafft hier das Hypertext Transfer Protocol Secure HTTPS. Es implementiert eine verschlüsselte und authentifizierte Kommunikation zwischen Webserver und Browser. Ein Schnüffler sieht dann zwar den Verkehr zwischen den zwei Endstellen, nicht aber dessen Inhalt. Das von Netscape entwickelte Protokoll wurde bereits 1994 mit dem gleichnamigen Browser veröffentlicht. Die Authentifizierung erfolgt beim Aufbau der Verbindung via Handshake mittels Transport Layer Security (TLS) [1].

Das Problem

Sei es nun aufgrund von Wurstigkeit, technischer Unkenntnis oder aus finanziellen Gründen – auch nach über 20 Jahren kommt HTTPS noch nicht flächendeckend zum Einsatz. Rund drei Viertel des Verkehrs im Web laufen weiter über HTTP. Vertrauenswürdige Server-Zertifikate gibt es kaum kostenfrei, für private Server-Betreiber rechnen sich die mit jährlichen Kosten verbundenen Zertifikate oft nicht.

Die von Firmen wie StartSSL [2] oder Organisationen wie CAcert [3] kostenlos erhältlichen Zertifikate stellen viele Betreiber eines V-Servers vor technische Hürden beim Implementieren auf den Server. Alternativ greifen manche zu selbst signierten Zertifikaten, auch als Snakeoil-Certs bekannt. Diese Zertifikate laden die Seite dann zwar mit HTTPS, veranlassen die meisten Webbrowser aber dazu, dem Anwender eine Warnmeldung zu präsentieren. Diese besagt, dass es sich um eine nicht vertrauenswürdige Seite handle, man aber eine Ausnahmegenehmigung erstellen könne (Abbildung 1). Das verunsichert Besucher, die den Betreiber nicht kennen; wiederkehrende Gäste nervt es schlicht. Der Sicherheit dient das nur bedingt, dem Renommee der Seite keinesfalls.

Abbildung 1: Bei selbst signierten und damit nicht vertrauenswürdigen Zertifikaten zeigen die meisten Webbrowser eine Sicherheitswarnung an.

Vertrauenswürdige Zertifikate stellen Dienstleister oder Organisationen aus, die den Status einer Zertifizierungsstelle besitzen, sogenannte Certificate Authorities (CAs). Der Kasten "Was ist eine CA?" erklärt, was es mit den Zertifizierungsstellen auf sich hat. Gilt eine CA als vertrauenswürdig, so übernehmen die Softwarehersteller das Root-Zertifikat in ihre Webbrowser, die dann aufgerufene Webseiten automatisch als entsprechend geschützt erkennen.

Was ist eine CA?

Die Aufgabe einer CA besteht unter anderem darin, öffentliche Schlüssel zu beglaubigen und entsprechende signierte Bescheinigungen auszustellen. Diese digitalen Zertifikate richten sich heute zumeist am X.509-Standard aus. Besuchen Sie eine mit HTTPS verschlüsselte Webseite, können Sie sich durch einen Klick auf das Schloss in der Adresszeile des Browsers (links von der URL) die Eckpunkte des zugrundeliegenden Zertifikats anzeigen lassen.

Die Lösung

Das Projekt Let's Encrypt [4] trat vor rund einem Jahr an, um HTTPS möglichst flächendeckend zu etablieren. Die Initiative wurde als erstes Projekt der neu gegründeten Organisation Internet Security Research Group (ISRG [5]) gestartet und im April 2015 unter den Schirm der Linux Foundation gestellt. Zu den Unterstützern des Projekts zählen Mozilla, die Electronic Frontier Foundation (EFF), Cisco, Akamai, IdenTrust und Forscher der Universität von Michigan; Josh Aas von Mozilla leitet das Team. Völlige Transparenz gilt als eines der obersten Gebote des Projekts – dazu gehören auch regelmäßige Transparenzberichte, der erste davon liegt bereits als PDF vor [6].

Um die Zielsetzung zu erreichen, sieht Let's Encrypt vor, X.509-Zertifikate [7] für TLS kostenlos und möglichst unkompliziert anzubieten. Deren Implementierung und Konfiguration stößt der Admin per Kommandozeile auf dem Server an, Erneuerungen erfolgen automatisch. Das stellt in der Handhabung einen Riesenschritt nach vorne dar und ermöglicht das Implementieren eines Zertifikats für den Webserver, ohne sich vorher intensiv mit Kryptografie und Webserver-Konfiguration befassen zu müssen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Erstes Zertifikat von Let's Encrypt online
    Let's encrypt, die neue Zertifizierungsstelle, will kostenlose Zertifikate ausstellen und den Prozess vereinfachen. Sie hat nun ihre Arbeit aufgenommen und ein erstes Zertifikat veröffentlicht.
  • Der Nächste, bitte!
    Führende Owncloud-Entwickler, darunter der Gründer Frank Karlitschek, überwarfen sich mit dem Kurs des Projekts und haben mit Nextcloud einen Fork gestartet. Der soll ein besseres Gleichgewicht zwischen Unternehmen, Kunden und Nutzern herstellen.
  • SSL-Authentifizierung mit Apache
    Das Login auf Webseiten mittels Nutzernamen und Passwort birgt Gefahren. Für mehr Sicherheit sorgt der Apache-Webserver mit einer zertifikatsbasierten Anmeldung.
  • Shell-Zugriff per Webbrowser
    Eine Shell im Browser? PHPshell und Shell in a Box machen es möglich und erleichtern damit das Verwalten von Webservern auch ohne SSH-Zugang – beispielsweise aus dem nächsten Internet-Café.
  • Vertrauensfragen
    Mit den richtigen Tools und Einstellungen wird E-Mail-Verschlüsselung zum Kinderspiel: S/MIME bildet den Rahmen für die sichere Kommunikation, Thunderbird betätigt sich als Mailclient.
Kommentare

Infos zur Publikation

LU 09/2017 PERFEKTE FOTOS

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Samsung VG-KBD1500 - Bluetooth-Tastatur mit Touchpad mit Xubuntu 16.04.2 LTS
Linux- & BSD-UserGroup im Weserbergland, 16.08.2017 19:16, 0 Antworten
Bin grad mit "meinem Latein am Ende" darum hier mal so in den Raum geworfen. Samsung VG-KBD1500 -...
Tails verbindet nicht mit WLan
Georg Vogel, 30.07.2017 15:06, 5 Antworten
Hallo zusammen! Habe mir von Linux Mint aus einen Tails USB-Stick erstellt. Läuft soweit gut,...
Genivi for Raspberry Pi 3
Sebastian Ortmanns, 28.07.2017 10:37, 1 Antworten
I try to build a Genivi Development Platform for Rasberry Pi 3. But I always get the failures bel...
Bash awk Verständnis-Frage
Josef Federl, 22.07.2017 17:46, 2 Antworten
#!/bin/bash # Skriptdateiname = test.sh spaltennummer=10 wert=zehner awk '{ $'$spaltennummer'...
Bash - verschachtelte Variablenersetzung, das geht doch eleganter als meine Lösung?
Josef Federl, 18.07.2017 20:24, 3 Antworten
#!/bin/bash #Ziel des Skriptes wird sein die ID zu extrahieren hier nur als Consolentest: root@...