Kundenlogin

Let’s Encrypt – kostenlose Zertifikate für alle?

Am 03.12.2015 fiel der Startschuss für einen offenen Beta-Test der Zertifizierungsstelle (CA) Let’s Encrypt. Die CA beginnt damit, kostenlose SSL-Zertifikate für jedermann auszustellen, was allerorts großes Interesse auslöst. Fachzeitschriften berichten seit geraumer Zeit darüber. Welche Entwicklung wird dieser Beta-Test nehmen und welche Gedanken haben wir als Managed-Hosting Unternehmen dazu? An unseren intern besprochenen Themen und an weiteren Antworten möchten wir Sie gern teilhaben lassen.

Wer oder was ist Let’s Encrypt?

Let’s Encrypt ist eine gemeinnützige Zertifizierungsstelle, hinter der bekannte Namen wie z. B. Mozilla, Akamai, Cisco und die Electronic Frontier Foundation stehen. Diese haben sich mit weiteren Unternehmen zur Internet Security Research Group (ISRG) zusammengefunden. Let’s Encrypt möchte zukünftig jedem kostenlos ein TLS-Zertifikat zur Verfügung stellen, um die Verbindungen zu eigenen Webseiten per HTTPS verschlüsseln zu können. Somit sollen Webseiten mit gängigen Browsern als vertrauenswürdig eingestuft werden und das Vertrauen des Webseitenbesuchers in den Anbieter stärken. 

Oberstes Ziel ist es, auf diesem Wege verschlüsselte HTTPS-Verbindungen zum Standard im Web zu machen und so für mehr Datenschutz und Sicherheit zu sorgen. Nach einem geschlossenen Beta-Test über die letzten zwei Monate soll nun die Zeit reif sein, in die öffentliche Betaphase überzugehen. Darüber hinaus hat die ISRG ein neues Protokoll namens “ACME” entwickelt, das die Herausgabe von Zertifikaten automatisierbar macht.

200x200_ssl

 

Diese Fragen bewegen uns:

Wie bewerten wir den Ansatz von Let’s Encrypt grundsätzlich?

Den von Let’s Encrypt verfolgten Sicherheitsaspekt begrüßt Power-Netz ausdrücklich. Das Engagement von Organisationen, die mit diesen Maßnahmen das Internet sicherer machen könnten, findet definitiv unseren Zuspruch. Die Öffentlichkeit ist auf Grund politischer und gesellschaftlicher Gefahren und Bedrohungen im Netz zunehmend sensibilisiert, so dass das Thema Datenschutz, Hosting made in Germany oder eben Webseitensicherung durch SSL-Zertifikate in den letzten Jahren deutlich an Fahrt aufgenommen hat.

Was unterscheidet die Installation eines Let’s Encrypt-Zertifikates von den von Power-Netz installierten Zertifikaten?

Let’s Encrypt:

Die Laufzeit der Let’s Encrypt Zertifikate beträgt 3 Monate. Derzeit müssen die Zertifikate noch manuell vom Webseitenbetreiber installiert und nach Ablauf der 3 Monate erneuert werden. Eine automatisierte Verlängerung ist in der Betaphase aktuell nicht vorhanden.

Power-Netz:

Die Laufzeit unserer Zertifikate beträgt 1 Jahr oder mehr, ganz nach Ihren Wünschen und Ihrem Budget. Die Zertifikate werden von uns für Sie installiert, so dass Sie administratorisch damit keinen Aufwand haben.

Können wir als Unternehmen künftig überhaupt noch DV-Zertifikate verkaufen?

Für Power-Netz sind SSL-Zertifikate in allen Ausführungen und Laufzeiten seit Jahren ein wichtiger Umsatz-Baustein, auf den wir selbstverständlich nur ungern verzichten. Insofern sehen wir das Angebot von Let’s Encrypt natürlich zunächst kritisch und mit betriebswirtschaftlich unerfreulichen Folgen.  

Wie so oft in der IT unterliegt der Hosting-Markt rasend schnellen Veränderungen, die wir als Unternehmen seit 1998 mit all seinen Facetten erfolgreich mitgehen. Insofern heißt es für uns auch in diesem Punkt, das Marktgeschehen zu beobachten, solide Unternehmensentscheidungen zu treffen und sich auf ggf. geänderte Rahmenbedingungen einzustellen, auch wenn es wehtut. Es wäre in 17 Jahren Firmengeschichte absolut nicht das erste Mal…

Lässt sich Let’s Encrypt auf unserer Shared-Hosting-Umgebung installieren?

Kurze Antwort: Nein. Die aktuelle Implementierung des Let’s Encrypt clients richtet sich eher an Server-Betreiber als an Endkunden im Shared-Hosting Bereich. In unserer aktuellen Server-Interface Plattform lässt sich der ACME Client nur sehr schlecht bis gar nicht aufrufen. Evtl. wird die Unterstützung für python2.6 von Seiten Let’s Encrypt noch verbessert – aber aktuell ist eine Nutzung im Server-Interface nicht möglich.

Gibt es Bedenken seitens Power-Netz?

Der Zweck der SSL-Verschlüsselung ist es, dass Webseitenbesucher anhand optischer Erkennbarkeiten darauf vertrauen können, dass die unter der zertifizierten Domain abgerufenen Daten tatsächlich von der aufgerufenen Website stammen und dass die eigenen Daten sicher übertragen werden.

Dieses optische Kennzeichen verschafft Sicherheit, dass es sich bei der aufgerufenen Webseite tatsächlich um die Seite handelt, für die wir sie halten. Durch Phishing-Attacken lenken Internetbetrüger den nichtsahnenden Besucher häufig auf täuschend echte Nachahmer Seiten und greifen auf diese Weise geheime Daten ab. Man muss also eine sichere Webseite deutlich von einer Fälschung unterscheiden können, nämlich mit einem SSL-Zertifikat. Bei den von Let’s Encrypt angebotenen Zertifikaten handelt es sich allerdings lediglich um Domain validierte Zertifikate. Diese Zertifikate, wie Sie Power-Netz ebenfalls im Portfolio hat, verschlüsseln zuverlässig und stehen höherwertigen Zertifikaten in diesem Punkt in nichts nach.

Die eindeutige Verifizierung des Webseitenbetreibers, und dies ist neben der Verschlüsselung die zweite Aufgabe eines SSL-Zertifikats,  ist über solch ein Zertifikat jedoch nicht eindeutig möglich. Aus diesem Grund bieten die Zertifizierungsstellen Organisation- und Extend-Validation-Zertifikate an. Bei diesen Zertifikaten wird der Antragsteller nochmals gesondert validiert (Anruf, Prüfung des Handelsregisters usw.) und der Besucher der Webseite kann anschließend sichergehen, dass die Identität des Zertifikatsinhabers von externer Stelle nochmals gesondert und unter strengen Richtlinien überprüft wurde. Als Nachweis dafür werden die Daten des Antragstellers mit dem Zertifikat ausgeliefert. Sie können dies z. B. nachprüfen wenn Sie die Webseite https://power-netz.de aufrufen.

Wie geht es dazu bei Power-Netz weiter?

Mit dem Start der Beta-Version von Let’s Encrypt liegen noch keinerlei Erfahrung mit der Nutzung und Implementierung auf einer Shared-Hosting-Umgebung vor. Die Entwicklung einer entsprechenden Umgebung zur Installation und zum Management der Zertifikate würde ebenfalls Zeit erfordern, zugegeben mit einem Produkt, mit dem wir zukünftig ggf. kein Geld verdienen können.

Daher werden wir die weiteren Entwicklungen mit Aufmerksamkeit verfolgen. Aktuell stellen wir bei Power-Netz die Weichen hin zu einem Multi-Plattform-Hoster, bei dem auch das Administrationswerkzeug Plesk ein Teil des Portfolios sein wird. Mit dem Marktgiganten Plesk könnte ggf. eine einfache Implementierung von kostenlosen SSL-Zertifikaten für unsere Kunden zu erwarten sein. Aber auch diese Entwicklung werden wir beobachten und unseren Kunden gegenüber in gewohnt zuverlässiger Manier informieren.