Kostenlose SSL-Zertifikate: Die drei häufigsten Fragen

Philipp Zeder
Autor:
Philipp Zeder
Kategorie:
in Neuigkeiten
Veröffentlicht am 27. November 2015

Ab 3. Dezember ist es endlich soweit: Let’s Encrypt geht an den Start. Seit wir die Zusammenarbeit mit der kostenlosen Zertifizierungsstelle angekündigt haben, erreichen uns viele Anfragen zum Thema. Die drei häufigsten Fragen zu Let’s Encrypt beantworten wir im heutigen Blogpost.

Kostenlose SSL-Zertifikate sind bald der neue Standard.

Kostenlose SSL-Zertifikate sind bald der neue Standard.

Let’s Encrypt-Zertifikate sind nur 90 Tage lang gültig. Muss ich ständig mein Zertifikat verlängern lassen?

Let’s Encrypt nennt selbst zwei Gründe für den 90-Tage-Turnus.

1.
Ihr Let’s Encrypt-Zertifikat wird von uns völlig automatisch verlängert. Die kurze Laufzeit von SSL-Zertifikaten fördert diese Automatisierung. Es ist an der Zeit, dass Verschlüsselung vereinfacht und automatisiert wird. Nur so kann die Verbreitung von verschlüsselter Kommunikation vorangetrieben werden.
2.
Wird ein Zertifikat missbraucht oder ein privater Schlüssel entwendet, ist dies dank der kurzen Laufzeit der Zertifikate maximal 90 Tage möglich. Zwar bestehen Mechanismen, um im Ernstfall Zertifikate für ungültig zu erklären. Diese sind aber in den meisten Anwendungen schlecht integriert, weshalb diese sogenannte «Certificate-Revocation» in Fachkreisen kritisch beäugt wird.

Können jetzt auch Kriminelle ihre Phishing-Sites verschlüsseln? Bringen SSL-Zertifikate dann noch Vorteile?

Let’s Encrypt hat ausführlich zum Thema Stellung genommen und erklärt, was die Zertifizierungsstelle gegen Missbrauch von SSL-Zertifikaten unternimmt.

Zertifizierungsstellen eignen sich grundsätzlich schlecht, um im Kampf gegen Phishing und Malware eine führende Rolle einzunehmen. Die grosse Anzahl an verschiedenen Zertifizierungsstellen führt dazu, dass sich Kriminelle immer das schwächste Glied in einem solchen Verbund aussuchen. Let’s Encrypt gehört dank Transparenz und Offenheit bestimmt nicht zu den bevorzugten Zielen böswilliger Angreifer, die im Versteckten operieren. Nichtsdestotrotz hat Let’s Encrypt Prüfmechanismen eingebaut, die unter anderem auf die Google Safe Browsing API zurückgreifen. Den Browserherstellern kommt in dieser Frage eine ganz zentrale Rolle zu. Positiv, dass mit Mozilla einer der grössten Browserhersteller zu den treibenden Kräften hinter Let’s Encrypt gehört.

Von der Verschlüsselung von Kommunikation einmal abgesehen, bringen SSL-Zertifikate auch Geschwindigkeitsvorteile. HTTP/2, die neue, schnelle Version des Verbindungsprotokolls für Websites, wird von Browsern nämlich nur über verschlüsselte Verbindungen genutzt. Dass Google die Verschlüsselung von Websites als positiven Faktor in sein Suchresultate einfliessen lässt, ist ebenfalls nicht zu verachten.

Sind kostenpflichtige SSL-Zertifikate sicherer?

In technischer Hinsicht unterscheiden sich kostenlose Zertifikate wie jene von Let’s Encrypt und Zertifikate, die viele hundert Franken pro Jahr kosten, in keinster Weise. Die Kommunikation zwischen Website und Browser ist mit beiden Zertifikaten genau gleich sicher verschlüsselt.

SSL-Zertifikate werden jedoch in drei Klassen unterteilt, die sich in gewissen Merkmalen unterscheiden:

  • Domain-Validated-Zertifikate (DV)
  • Organisation-Validated-Zertifikate (OV)
  • Extended-Validated-Zertifikate (EV)

Let’s Encrypt stellt DV-Zertifikate aus, bei denen geprüft wird, ob der Zertifikate-Antragssteller die Kontrolle über die zu sichernde Domain beweisen kann. Dieser Vorgang lässt sich vollständig automatisieren, trotzdem waren DV-Zertifikate bis anhin (mit Ausnahmen) kostenpflichtig und in den meisten Fällen überteuert. Ein DV-Zertifikat beweist dem Website-Besucher, dass er sich auf der Website befindet, die er besuchen wollte. Dazu ist im Zertifikat die Domain hinterlegt, zu der die Kommunikation verschlüsselt wird. Browser signalisieren die so verschlüsselte Verbindung mit einem Schloss-Symbol.

Bei der Ausstellung von OV- und EV-Zertifikaten prüft die Zertifizierungsstelle zusätzliche Informationen über den Zertifikatbesitzer, zum Beispiel ob dieser im Handelsregister eingetragen oder die angegebene Telefonnummer erreichbar ist. OV-Zertifikate enthalten denn auch nicht nur die gesicherte Domain sondern weitere Informationen zur Organisation, der das Zertifikat gehört. EV-Zertifikate werden in Browsern zusätzlich mit visuellen Merkmalen wie einem grünen Balken dargestellt.

Bonusfrage: Wäre nicht «TLS-Zertifikate» der korrekte Begriff?

Doch, denn die Bezeichnung SSL ist eigentlich hoffnungslos veraltet. Das SSL-Protokoll (Secure Sockets Layer) wurde bereits 1999 durch TLS (Transport Layer Security) abgelöst. Konsequenterweise müssten wir also von TLS-Verschlüsselung und TLS-Zertifikaten sprechen.

Das Thema wird bei uns im Team heiss diskutiert. Wir haben uns vorerst darauf geeinigt, weiterhin den Begriff SSL-Zertifikate zu verwenden. Dieser Begriff ist etabliert und für die meisten Leute verständlicher, wie die vergangenen 16 Jahre bewiesen haben.

Wenn Sie mit uns in Kontakt stehen, dürfen Sie SSL-Zertifikate ungeniert TLS-Zertifikate nennen. Dem entsprechenden Mitarbeiter wird das mit Bestimmtheit ein Lächeln ins Gesicht zaubern ;)

Beteilige dich an der Diskussion

15 Kommentare

Richard
Richard 11. December 2015 um 08:12

Achtung: Bei Alias-Domains wird die Webseiten-Domain eingetragen und zusätzlich bei der Webseiten-Domain ein weiteres Cert generiert. Bei 4 Alias-Domains hat man das Limit von 5 Certs erreicht, ohne dass man davon etwas merkt. Deaktiviert man eines der Alias-Certs, werden alle Certs deaktiviert (inkl. Webseiten-Domain) und man kann anschliessend keines mehr aktivieren! U.U. schliesst man sich damit selber aus, weil die Webseiten-Domain immer noch auf https eingestellt ist (so geschehen bei moodle).

Trotzdem vielen Dank an Cyon für die Möglichkeit TSL/SSL gratis zu nutzen!
Richard

Philipp Zeder
Philipp Zeder cyon
14. December 2015 um 15:12

Die Limite dürfte durch Alias-Domains eigentlich nicht beeinflusst werden. Sie gilt grundsätzlich pro Domain und ist unabhängig davon, ob im gleichen Zertifikat noch weitere Domains hinterlegt sind. Wir schauen uns den Fall aber im Detail an und melden uns dann per bereits offenem Supportticket. Merci für den Hinweis.

Christian
Christian 04. December 2015 um 10:12

Ein Traum wird wahr. Endlich TLS für alle.
Jedoch scheint Let’s Encrypt etwas überlastet zu sein. Oder gibt es andere Gründe, warum ich ein paar Domänen erfolgreich mit einem Zertifikat ausstatten konnte und ein paar nicht? Auch nach weiteren Versuchen hat es nicht geklappt. :)

Vielen Dank für den TOP Service
Liebe Grüsse
Christian

Philipp Zeder
Philipp Zeder cyon
04. December 2015 um 11:12

Hallo Christian
Schickst Du uns die Domains, welche nicht funktioniert haben, kurz per Mail an mail@cyon.ch? Dann gehen wir der Sache nach.
Beste Grüsse
Philipp

Adrian
Adrian 03. December 2015 um 23:12

Grosses Kino … der Service ist wie immer super – nur macht Google Chrome da offenbar noch nicht so recht mit…

Dieser Server konnte nicht beweisen, dass er http://www.noivaforum.ch ist. Sein Sicherheitszertifikat stammt von *.cyon.ch. Mögliche Gründe sind eine fehlerhafte Konfiguration oder ein Angreifer, der Ihre Verbindung abfängt.

braucht das nur Geduld?

Philipp Zeder
Philipp Zeder cyon
04. December 2015 um 10:12

Hallo Adrian. Die Website wird mir mittlerweile mit korrektem Let’s Encrypt-Zertifikat angezeigt. Ich gehe davon aus, dass es aus Deiner Sicht auch klappt. Lass mich einfach wissen, falls das nicht der Fall sein sollte.

Du hast auf der Website übrigens noch Quellen, die per http:// eingebunden sind. Dieser «Mixed-Content» verhindert in Chrome, dass das grüne Schlösschen angezeigt wird.

Rob
Rob 03. December 2015 um 21:12

Ganz grosses Kino! Wirklich vielen Dank dafuer, bin begeistert, auch wie gut es funktioniert das ganze. Top, as usually!

david
david 03. December 2015 um 21:12

Super Sache dieser Service, soeben schon erfolgreich eingerichtet. In ca 10 Minuten ist das gemacht und das funktioniert Problemlos. Mit einem WP-Plugin wird dann auch die Umleitung automatisch gemacht. Als nächstes kommt noch die Firmen-Webseite dran. Danke Cyon!

Stefan
Stefan 03. December 2015 um 10:12

Hallo zusammen

Habe einen manuellen Test gemacht. Die Let’s Encrypt Authority X1 Authoritiy ist noch nicht im Firefox Browser drin.

Gruss

Philipp Zeder
Philipp Zeder cyon
03. December 2015 um 10:12

Hallo Stefan. Die Let’s Encrypt-Zertifikate sind von Identrust cross-signed, deren Root-Zertifikate in allen gängigen Browsern vorhanden sind. So werden Let’s Encrypt-Zertifikate problemlos funktionieren, bis die eigenen Root-Zertifikate mit den Browsern mitgeliefert werden. Weiter Infos findest Du im Let’s Encrypt-Blog: https://letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html

Stefan
Stefan 03. December 2015 um 09:12

Stand?

Helmut
Helmut 03. December 2015 um 05:12

Guten Morgen
Heute ist der dritte Dezember…. :) Geht Ihr mit den Zertifikaten heute live?
Gruss nach Basel
Helmut

Philipp Zeder
Philipp Zeder cyon
03. December 2015 um 10:12

Hallo Helmut, ab 19 Uhr soll’s bei Let’s Encrypt losgehen (vgl. letsencrypt.status.io). Wir werden die Option voraussichtlich kurz danach im my.cyon freischalten.

Claude
Claude 27. November 2015 um 09:11

Hallo Philipp

Wie immer ein guter Artikel. Ich schätze die Updates zu euren Services.

Im Moment habe ich ein Zertifikat auf meinem Hosting hinterlegt. Bei diesem Setup konnte ich ja nur ein Zertifikat für den Hosting Account und nicht pro Domain hinterlegen. Mit dem neuen Mechanismus ist es gemäss früherem Blog-Eintrag dann möglich, für alle Domains bzw. Subdomains Zertifikate automatisch auszustellen, richtig?

Die brennendere Frage für mich ist jedoch, ob ich zuerst die Löschung des bisherigen Zertifikats (kostenloses von StartSSL) bei euch beantragen muss, bevor ich dann via Let’s Encrypt nutzen kann.

Merci dir für die Ausführungen.
Claude

Philipp Zeder
Philipp Zeder cyon
27. November 2015 um 13:11

Hallo Claude

Danke Dir, das freut mich sehr.

Im Moment habe ich ein Zertifikat auf meinem Hosting hinterlegt. Bei diesem Setup konnte ich ja nur ein Zertifikat für den Hosting Account und nicht pro Domain hinterlegen. Mit dem neuen Mechanismus ist es gemäss früherem Blog-Eintrag dann möglich, für alle Domains bzw. Subdomains Zertifikate automatisch auszustellen, richtig?

Genau. Du wirst für alle Domains uns Subdomains auf Deinem Webhosting Zertifikate aktivieren können, die parallel installiert werden. Die angekündigte Autopilot-Funktion, also dass auch zukünftig installierte Domains automatisch ein SSL-Zertifikat erhalten, wird dann später ebenfalls zur Verfügung stehen.

Die brennendere Frage für mich ist jedoch, ob ich zuerst die Löschung des bisherigen Zertifikats (kostenloses von StartSSL) bei euch beantragen muss, bevor ich dann via Let’s Encrypt nutzen kann.

Du wirst ein bestehendes Zertifikat direkt in Deinem my.cyon-Konto deaktivieren und dann ein Let’s Encrypt-Zertifikat aktivieren können.