Ergebnisse

Den Vorgang testeten wir sowohl unter Ubuntu Server 15.04 mit Apache 2.4.7-1ubuntu4.8 als auch auf Debian "Jessie" mit Apache 2.4.10-10+deb8u3. Das Ergebnis hat uns beeindruckt: Die Vorarbeiten mit dem Herunterladen und Installieren des Clients auf den Server waren in rund drei Minuten erledigt, das Erzeugen und Implementieren des Zertifikats dauerte weniger als eine Minute. Die Testseite ließ sich sofort mit HTTPS aufrufen, der anschließende Test auf der Seite von Qualys SSL Labs [10] bestätigte die erfolgreiche Implementierung (Abbildung 3). Die technischen Details des Zertifikats sehen Sie, wenn Sie die Sicherheitseinstellungen der Seite in Firefox öffnen (Abbildung 4).

Abbildung 3: Der SSL-Test von Qualsys attestierte der Implementierung einwandfreie Funktion.
Abbildung 4: Der Firefox-Browser liefert detaillierte Informationen über das Zertifikat.

Ein weiterer Vorteil von Let's Encrypt führt derzeit noch zu etwas Handarbeit: Die Zertifikate des Projekts beschränken sich aus Gründen der Sicherheit derzeit auf eine Gültigkeitsdauer von drei Monaten. Sobald die CA den Regelbetrieb einmal aufnimmt, sollen die Zertifikate automatisch erneuert werden. Da eine Implementation dieser Funktion aber bislang noch aussteht, obliegt es derzeit dem Inhaber, durch erneutes Ausführen der Software das Zertifikat vor Ablauf der Gültigkeit zu erneuern. Das erledigen Sie entweder manuell durch den erneuten Aufruf des Befehls oder über einen Cronjob. Der Vorgang zieht das aktuelle Zertifikat automatisch zurück und tauscht es gegen ein neues aus.

Hintergründig

Dem in Python geschriebenen Let's-Encrypt-Client obliegt sowohl die Kommunikation mit der CA während des Erstellens als auch die Konfiguration des Servers beim Implementieren des Zertifikats. Zunächst erzeugt das Skript auf dem Server ein Schlüsselpaar, dessen öffentlichen Schlüssel die CA signiert. Die Schlüssel liegen unterhalb von /etc/letsencrypt/live/ unter dem jeweiligen Domain-Namen. Dann stellt die Software mit dem öffentlichen Schlüssel einen Certificate Signing Request (CSR) aus, also eine Anfrage zum Signieren eines Zertifikats.

Nun muss die CA prüfen, ob sich der Server, von dem aus Sie den Prozess angestoßen haben, über die entsprechende Domain erreichen lässt. Dazu erzeugt das Skript eine per HTTP erreichbare Datei auf dem Server, welche die CA abfragt. Das genügt als Authentisierung für Klasse-1-Zertifikate.

Nach dem positiven Abschluss der Prüfung stellt die CA das Zertifikat aus und legt es zusammen mit dem privaten Schlüssel ebenfalls unterhalb von /etc/letsencrypt/live/ ab (Abbildung 5). Es empfiehlt sich, nach Abschluss der Installation eine Sicherung dieses Verzeichnisses anzulegen. Im letzten Schritt bindet das Skript das Zertifikat in die Server-Struktur ein und zeigt eine Erfolgsmeldung. Die Zertifikate werden in der Regel unter /etc/apache2/sites-enabled eingebunden. Weitere technische Einzelheiten stellt das Let's-Encrypt-Projekt im Rahmen seiner Dokumentation zur Verfügung [11].

Abbildung 5: Die Software speichert den privaten Schlüssel zusammen mit den Zertifikaten unterhalb des Verzeichnisses /etc/letsencrypt/live/. Es empfiehlt sich, davon eine Sicherungskopie zu erstellen.

Fazit

Let's Encrypt stellt eine revolutionär einfache neue Methode für das Erzeugen und Installieren von vertrauenswürdigen SSL-Zertifikaten bereit. Binnen lediglich eines Jahres brachten die Entwickler das neue Paradigma zur Einsatzreife und ermöglichen damit endlich jedem Server-Betreiber, kostenlos, unkompliziert und schnell zu einer sichereren Webpräsenz zu kommen. 

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Erstes Zertifikat von Let's Encrypt online
    Let's encrypt, die neue Zertifizierungsstelle, will kostenlose Zertifikate ausstellen und den Prozess vereinfachen. Sie hat nun ihre Arbeit aufgenommen und ein erstes Zertifikat veröffentlicht.
  • Der Nächste, bitte!
    Führende Owncloud-Entwickler, darunter der Gründer Frank Karlitschek, überwarfen sich mit dem Kurs des Projekts und haben mit Nextcloud einen Fork gestartet. Der soll ein besseres Gleichgewicht zwischen Unternehmen, Kunden und Nutzern herstellen.
  • SSL-Authentifizierung mit Apache
    Das Login auf Webseiten mittels Nutzernamen und Passwort birgt Gefahren. Für mehr Sicherheit sorgt der Apache-Webserver mit einer zertifikatsbasierten Anmeldung.
  • Shell-Zugriff per Webbrowser
    Eine Shell im Browser? PHPshell und Shell in a Box machen es möglich und erleichtern damit das Verwalten von Webservern auch ohne SSH-Zugang – beispielsweise aus dem nächsten Internet-Café.
  • Vertrauensfragen
    Mit den richtigen Tools und Einstellungen wird E-Mail-Verschlüsselung zum Kinderspiel: S/MIME bildet den Rahmen für die sichere Kommunikation, Thunderbird betätigt sich als Mailclient.
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Broadcom Adapter 802.11n nachinstallieren
Thomas Mengel, 31.10.2017 20:06, 2 Antworten
Hallo, kann man nachträglich auf einer Liveversion, MX Linux auf einem USB-Stick, nachträglich...
RUN fsck Manually / Stromausfall
Arno Krug, 29.10.2017 12:51, 1 Antworten
Hallo, nach Absturz des Rechners aufgrund fehlendem Stroms startet Linux nicht mehr wie gewohn...
source.list öffnet sich nicht
sebastian reimann, 27.10.2017 09:32, 2 Antworten
hallo Zusammen Ich habe das problem Das ich meine source.list nicht öffnen kann weiß vlt jemman...
Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 6 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...