Kostenloses SSL Zertifikat mit Let’s Encrypt

Die Verschlüsselung von Daten im Internet ist unverzichtbar, um ein Abfangen und Verändern der Kommunikation durch Dritte ausschließen zu können. Ohne eine effiziente Kryptografie übermitteln Server alle Art ihre Informationen in einem sogenannten Klartext als digitale Zeichen, die jede Zwischenstation speichern, lesen und manipulieren kann. Es ist unverzichtbar, jede Kommunikation durch offizielle Verfahren zu sichern - sei es durch gebührenpflichtige oder kostenlose SSL Zertifikate etwa von Let's Encrypt, um ein Ausspähen zu verhindern.

Was sind SSL Zertifikate und wofür dienen sie?

Voraussetzung für eine wirksame Chiffrierung ist, dass sich mindestens eine Endstelle - zum Beispiel eine Webseite - mit seiner Identität einwandfrei ausweist. Anschließend beginnt ein Austausch von mehreren Schlüsseln, die Let's Encrypt ebenso wie alle anderen Verfahren für sichere bi- oder multilaterale Kommunikation nutzt. Dabei handelt es sich um eine sogenannte asymmetrische Chiffrierung - die Verschlüsselung von Informationen erfolgt über einen öffentlich bekannten Schlüssel. Die Umwandlung zurück in einen Klartext erfordert jedoch einen gänzlich unabhängigen, geheimen und privaten Passcode, der ebenfalls von Anbieter wie Let's Encrypt erstellt wird und sich ausschließlich im Besitz des Inhabers befindet.

Dieses Verfahren bietet mehrere Vorteile, die als Basis für eine effiziente IT-Sicherheit gelten. Zu diesen zählen unter anderem:

• Wechsel zwischen Algorithmen zur Verschlüsselung jederzeit möglich
• Sicherer Austausch von Schlüsseln zwischen zwei unbekannten Stellen
• Keine Beeinträchtigung der Sicherheit durch Transfer über unsichere Verbindungen
• Garantierte Kompatibilität zwischen verschlüsseltem und offenem Netzwerktraffic
• Einfache Verteilung für eine weitläufige, abdeckende Verbreitung
• Eindeutige Identifikation von Teilnehmern durch Anbieter wie Let's Encrypt

Von offiziellen Instanzen legitimierte kommerzielle oder kostenlose SSL Zertifikate - ob sie von Let's Encrypt oder anderen Anbietern stammen - verwenden eine Kette von Signaturen, um eine Stelle eindeutig und sicher zu identifizieren.

Was steckt hinter dem kostenlosen SSL Zertifikat von Let's Encrypt?

Bis in die zweite Dekade des 21. Jahrhunderts bot kein Anbieter wie Let's Encrypt kostenlose SSL Zertifikate etwa für Webseiten an. Diese lassen sich zwar ohne Probleme durch das Programm OpenSSL selbst erstellen - allerdings fallen bei einem solchen Vorgehen Vorteile wie die eindeutige Identifikation der Endstelle weg. Aus diesem Grund betrachten Browser wie Firefox, Safari, Microsoft Edge oder Google Chrome und Alternativen derartige kostenlose SSL Zertifikate als nicht vertrauenswürdig und lehnen sie mit einer entsprechenden Fehlermeldung ab. Dieser Ansatz geht auf eine von Google gegründete Initiative zurück, deren Ziel eine deutlich höhere Sicherheit im Internet war. Um sie indirekt als Standard zu etablieren, kündigte die Suchmaschine seit etwa 2015 publikumswirksam an, die Verschlüsselung über HTTPS zunächst positiv im Ranking zu berücksichtigen und später das Fehlen durch Abwertung zu bestrafen.

Im Zuge dieser Umstellung von einer offenen auf eine durch kostenlose SSL Zertifikate verschlüsselten Verbindung im Internet gründete sich die gemeinnützige und nicht gewinnorientierte Zertifizierungsstelle Let's Encrypt, an der sich neben Google weitere Konzerne wie etwa Microsoft durch Spenden beteiligen.

Wie funktioniert die kostenlose SSL Verschlüsselung von Let's Encrypt?

Let's Encrypt ermöglicht es, kostenlose SSL Zertifikate für Webseiten zu erstellen, falls sich der Antragsteller durch bestimmte Verfahren authentifizieren kann. Dafür verwendet Let's Encrypt im Wesentlichen zwei verschiedene Möglichkeiten: Der Betreiber einer Internetseite kann entweder einen speziellen Eintrag im Domain Name System (DNS) hinterlassen, der einen kryptografischen Code enthält. Ist dies nicht möglich, bieten sich Alternativen an, die sich gleichermaßen für ein einfaches Webhosting wie für dedizierte Server eignet. Dabei legt der User oder ein Skript eine spezielle, ausschließlich für Let's Encrypt geschaffene Webseite auf einem versteckten Pfad an - kann diese gelesen und aufgerufen werden, gilt dies als sicherer Beweis, dass die Internetpräsenz der Kontrolle des Antragstellers unterliegt.

Was sind Alternativen zu Let's Encrypt?

Die hohe Popularität von Let's Encrypt liegt vor allem in der Tatsache begründet, dass der Anbieter kostenlose SSL Zertifikate in wenigen Minuten und bei einem geringen Aufwand an Zeit, Kosten und Information zur Verfügung stellt. Dabei handelt es sich um eine lizenzierte Registrierungsstelle, die seine Nachweise offiziell durch eigene, von den obersten Gremien ausgestellte Legitimation nachweist. Zu Let's Encrypt existieren zahlreiche kommerzielle Alternativen wie etwa GigiCert, GeoTrust, Thawte, Comodo oder RapidSSL - mehr dazu in unserem SSL Zertifkate Vergleich. Sie bieten ihrerseits diverse Vorteile wie etwa eine längere Laufzeit, die sichtbare Darstellung der Inhaber oder eine als besonders sicher geltende Anzeige im Browser. Allerdings sind alle diese Alternativen zu Let's Encrypt kostenpflichtig und können speziell bei kommerzieller Verwendung teilweise hohe dreistellige Eurobeträge im Jahr verursachen.

Warum ist eine kostenpflichtige oder kostnlose SSL-Verschlüsselung notwendig?

Eine SSL-Verschlüsselung auf der eigenen Webseite sorgt dafür, dass sämtliche Daten zwischen dem Server und dem Endgerät des Webseitenbesuchers verschlüsselt übertragen werden. Ziel der Verschlüsselung ist es, die Vertraulichkeit und Integrität der gesamten Kommunikation zwischen Server und Webseitenbesucher zu gewährleisten. Übertragene Daten können somit nicht von unbefugten Dritten abgefangen werden. Auf diese Weise lassen sich sogenannte Man-in-the-Middle Angriffe oder auch Phishing Angriffe effektiv verhindern. Gerade die Übertragung von sensiblen Daten, wie persönlichen Informationen, Zahlungsdaten oder Adressdaten beim Online Shopping oder im Bereich des Online Bankings, sollte ausschließlich über verschlüsselte Verbindungen erfolgen.

Doch es gibt mittlerweile noch zahlreiche weitere Gründe, auf eine SSL-Verschlüsselung für die eigene Webseite zu setzen:

Mit der Einführung der DSGVO (Datenschutzgrundverordnung) im Mai 2018 fordert der Gesetzgeber einen umfangreichen Schutz personenbezogener Daten im Internet. Dazu gehören auch E-Mail Adressen oder gar IP-Adressen, sodass der Einsatz einer SSL-Verschlüsselung nicht nur für Onlineshops und Webservices, sondern praktisch für jede Art von Webseite zu empfehlen ist.

Ein weiterer Grund für Webmaster, um auf verschlüsselte Verbindungen zu setzen, ist der Suchmaschinen Gigant und Google. Dieser hat bereits mehrfach verlauten lassen, dass per SSL verschlüsselte Webseiten einen Bonus beim Ranking in den Suchergebnissen erhalten. Und wer möchte nicht mit der eigenen Webseite weiter oben angezeigt werden? Zudem werden unverschlüsselte Webseiten bereits seit einiger Zeit in Googles Chrome Browser als unsicher gekennzeichnet, was von Webseitenbesuchern durchaus als negatives Vertrauenssignal wahrgenommen werden könnte.

Eine verschlüsselte Verbindung erkennt man am Protokoll https (Hypertext Transfer Protocol Secure), das vor dem eigentlichen Domainnamen im Browser angezeigt wird. Im Gegensatz zum normalen Protokoll http (Hypertext Transfer Protocol) werden die übertragenen Daten bei der sicheren Variante per SSL/TLS verschlüsselt.

Let’s Encrypt als kostenloses SSL Zertifikat nutzen

Für lange Zeit waren SSL-Zertifikate ausschließlich kostenpflichtig über den Webhosting Anbieter zu beziehen. Doch das hat sich seit der Einführung der kostenlosen Let’s Encrypt SSL-Zertifikate geändert. Hinter Let’s Encrypt steht eine gemeinnützige Interessengruppe, die sich für ein sicheres Internet weltweit einsetzt und Webmastern den Kostenaufwand für SSL-Zertifikate ersparen möchte. Zu den Hauptsponsoren des Projekts zählen unter anderem Branchengrößen wie die Electronic Frontier Foundation (EFF), die Mozilla Foundation, Google und Cisco Systems zudem gibt es weiterenamhafte Unterstützer wie die University of Michigan oder die Linux Foundation.

Das Ziel von Let’s Encrypt ist es den weltweiten Einsatz von SSL-Zertifikaten voranzubringen und dieses kostenlos. Dabei sollen diese kostenlos und einfach zu integrieren sein, sich automatisch verlängern ohne großen Aufwand zu erzeugen und stets den besten Schutz der übertragenen Daten gewährleisten.

Kostenlose SSL-Verschlüsselung mit Let’s Encrypt einrichten

Die praktische Einrichtung von Let’s Encrypt SSL-Zertifikaten gestaltet für Webseitenbetreiber üblicherweise ganz einfach, denn viele deutsche Webhoster haben den entsprechenden Service bereits in ihre Webhosting Angebote integriert. Die Aktivierung kann somit einfach über die Verwaltungsoberfläche erfolgen. Nachdem das Zertifikat angefordert wurde, ist die eigene Webseite nur wenige Minuten später per https zu erreichen. Um die volle Funktionsfähigkeit der eigenen Webseite zu gewährleisten, muss der Webmaster lediglich im Backend sämtliche URLs vom alten Standard http auf den neuen Standard https abändern.

Eine kostenlose SSL-Verschlüsselung mit Let’s Encrypt ist für nahezu sämtliche Webseiten ausreichend. In puncto Sicherheit stehen die kostenlosen Zertifikate den kostenpflichtigen Angeboten anderer Anbieter in nichts nach. Lediglich Webseitenbetreiber, die besondere Zusatzfunktionen wie etwa eine Organisations Validation mit Identitätsprüfung oder eine Extended Validation mit „grüner Adressleiste“ benötigen, müssen sich nach kostenpflichtigen SSL-Zertifikaten umsehen.

Die Aktivierung einer SSL-Verschlüsselung für die eigene Webseite ist dank Let’s Encrypt SSL-Zertifikaten kostenlos und ohne großen Aufwand für jeden Webmaster möglich. Aufgrund der strengen gesetzlichen Anforderungen, den Vorzügen durch den Suchmaschinen Giganten Google sowie die höhere Sicherheit für die persönlichen Daten von Webseitenbesuchern, sprechen eine Vielzahl an Gründe dafür, lieber früher als später die eigene Webseite auf SSL umzustellen.

Foto: Schluesseldienst auf Pixabay