Kostenlose SSL-Zertifikate: Neu auch für Umlautdomains

Bald ist es ein Jahr her, seit Let’s Encrypt mit dem Start in die Beta-Phase die Branche für SSL-Zertifikate mächtig durchgeschüttelt hat. In der Zwischenzeit sind nicht weniger als 10,3 Millionen Zertifikate aktiv, die von der Zertifizierungsstelle (CA) ausgestellt wurden. Neu können auch Umlautdomains mit Zertifikaten von Let’s Encrypt geschützt werden.

HTTPS wird zum neuen Standard

Das Ziel hinter Let’s Encrypt ist klar: Alle Verbindungen zu Websites zu verschlüsseln. Gute News: Wir sind auf dem besten Weg dazu, dieses Ziel zu erreichen. Am 13. Oktober wurden von Mozilla erstmals mehr Verbindungen zu HTTPS-Adressen als zu unverschlüsselten URLs gemessen. Auch die Chrome-Entwickler hatten kürzlich den gleichen Meilenstein vermeldet.

https://twitter.com/0xjosh/status/786971412959420424

Mit der Version 56 und damit ab Januar 2017, werden in Chrome Seiten die Kreditkarten- oder Passwort-Formularfelder beinhalten explizit als unsicher markiert, wenn diese über eine unverschlüsselte Verbindung aufgerufen werden.

Ab Version 56 warnt Chrome vor unverschlüsselten Verbindungen zu Formularen. Quelle: Google Security Blog

Letztendlich ist geplant, sämtliche unverschlüsselten Verbindungen mit dem Label «Unsicher» zu bezeichnen. Wann das der Fall sein wird, ist noch nicht bekannt. Statistiken zur Nutzung von SSL-Zertifikaten werden bei dieser Entscheidung sicherlich eine Rolle spielen.

Geplante Markierung von unsicheren HTTP-Verbindungen in Chrome. Quelle: Google Security Blog

Konkurrenz leistet sich Schnitzer

Let’s Encrypt war nicht die erste CA, die kostenlose SSL-Zertifikate anbot, könnte aber bald die einzige sein. Zwei Vorreiter, die Anbieter StartCom und WoSign mussten vor einigen Tagen eine herbe Niederlage einstecken. Zertifikate der beiden Anbieter, die nach dem 21. Oktober 2016 ausgestellt werden, werden in den Browsern Firefox 51 und Chrome 56 als nicht vertrauenswürdig eingestuft. Apple hat den Anbietern das Vertrauen ebenfalls entzogen und blockt deren Zertifikate auf macOS und iOS.

Was war passiert? WoSign hatte sich gleich mehrere Schnitzer geleistet. So hatte die CA Zertifikate für Domains ausgestellt, die der Antragssteller gar nicht unter Kontrolle hatte. Ausserdem hatte WoSign gleich auch noch den Anbieter StartCom übernommen, allerdings heimlich. Als das CA/Browser Forum, ein Zusammenschluss aus Browser-Herstellern und Zertifizierungsstellen, auf die Übernahme aufmerksam wurde, versuchte das Management diese Tatsache zu vertuschen. Beim CA/Browser Forum, das sich um die Standardisierung der Abläufe für Zertifizierungsstellen kümmert, kam das naturgemäss nicht gut an.

Umlautdomains jetzt auch sicher

Seit 20. Oktober unterstützt Let’s Encrypt internationalisierte Domainnamen. Diese sogenannten IDN-Domainnamen enthalten Sonderzeichen wie Umlaute oder Buchstaben aus nicht-lateinischen Sprachen. Damit können nun auch Adressen wie verschlüsselt.ch mit einem kostenlosen SSL-Zertifikat geschützt werden. Für die Top-Level-Domain .ch sind immerhin etwas mehr als 58’000 IDN-Domainamen registriert und machen damit knapp 3% aller registrierten .ch-Domains aus.

Haben Sie Ihr kostenloses SSL-Zertifikat schon aktiviert? Bei uns ist das mit einem Klick erledigt. Sie profitieren damit nicht nur von einer verschlüsselten Verbindung zu Ihren Websites, sondern dank automatisch aktivem HTTP/2-Protokoll auch von einer besseren Performance. Google bevorzugt ausserdem Websites, die über eine verschlüsselte Verbindung erreichbar sind.