TLS für alle – Let’s encrypt stellt Millionen Zertifikate aus

BLOG: Datentyp

Informatik, Daten und Privatsphäre
Datentyp

Die Marke von zwei Millionen Zertifikaten wurde bereits überschritten und derzeit sieht es danach aus, dass es Ende Mai bereits drei Millionen sein werden. Mit diesen hohen Wachstumszahlen könnte Let’s encrypt zur größten Zertifizierungsstelle der Welt werden, wenn wir Größe allein nach der Anzahl der Kunden bemessen. Die Besonderheit ist: Die Ausstellung erfolgt kostenfrei, denn Let’s encrypt ist eine Kampagne der gemeinnützigen Electronic Frontier Foundation, die sich in besonder Weise für Datenschutz und Datensicherheit im Internet stark macht.

Die Idee ist: Die Kommunikation zwischen Webserver und Webbrowser soll abgesichert werden. Das heißt, Vertraulichkeit und Integrität der übermittelten Daten soll gewährleistet sein und mithilfe von Krypto-Algorithmen (Verschlüsselung u. a.) durchgesetzt werden. Tatsächlich sieht das Protokoll http, das zur Übertragung von Webseiten spezifiziert wurde, eine ungesicherte Übertragung vor. Dies ermöglicht leider die Überwachung der Kommunikation durch staatliche Stellen und kriminelle Dritte, das Einschleusen schädlicher Software oder auch das Ablauschen von Passwörtern, Suchbegriffen und privaten Nachrichten.

Zwar gibt es bereits seit Jahren eine etablierte Technologie (SSL, heute: TLS), die bei richtiger Konfiguration für eine angemessene Absicherung der Daten sorgt; der Einsatz von TLS verlangt jedoch, dass der Server über ein Zertifikat verfügt, das die Echtheit des öffentlichen Schlüssels elektronisch bescheinigt. Und die Ausstellung der Zertifikate kostete bisher in der Regel Geld; über die Jahre konnten dabei durchaus mittlere dreistellige Summen anfallen, zu hohe Kosten für viele Anbieter, insbesondere die nichtkommerziellen Betreiber von Websites.

Let’s encrypt hat dies nun erfolgreich geändert. Die Zertifikate sind kostenlos und die Ausstellung und Verlängerung der Zertifikate wird durch frei verfügbare und einfach zu bedienende Tools, die den Prozess automatisieren, erleichtert. Überprüft wird dabei lediglich, ob der Antragsteller die technische Kontrolle über den Webauftritt, der über eine Domain erreichbar ist, hat; dazu sendet die Zertifizierungsstelle eine sogenannte Challenge an den Server, die dann von einem Softwaretool positiv beantwortet wird (Response). Das Zertifikat garantiert daher nur, dass die Domain-Zuordnung technisch überprüft wurde, es garantiert nicht, dass beispielsweise eine bestimme, namentlich bekannte juristische Person (z. B. eine Bank oder ein Onlinehändler) der Antragsteller und Besitzer des Schlüssels ist. Für diese Zwecke gibt es aber alternative, kostenpflichtige Zertifizierungsdienste, die eine entsprechende weitergehende Überprüfung durchführen. Über den Webbrowser kann man sich als Nutzer anzeigen lassen, welches Zertifikat und welche Zusicherung vorliegen, dazu muss man – abhängig vom Browser – auf ein Icon in der Nähe der URL oder in einer Statuszeile klicken.

Zum Ziel, weltweit für eine Absicherung der Web-Kommunikation zu sorgen, hat Let’s encrypt mit den Millionen von neuen Zertifikaten einiges beigetragen. Das wird viele Anwender freuen und auch die eine oder andere Regierungsstelle, vermutlich aber nicht alle.

Avatar-Foto

”The purpose of computing is insight, not numbers.” (Richard Hamming) Ulrich Greveler studierte in Gießen Mathematik und Informatik, arbeitete sechs Jahre in der Industrie im In- und Ausland, bevor er als Wissenschaftler an die Ruhr-Universität nach Bochum wechselte. Seit 2006 lehrt er Informatik mit dem Schwerpunkt IT-Sicherheit an der Fachhochschule Münster (bis 03/2012) und der Hochschule Rhein-Waal (seit 03/2012). Sein besonderes Interesse gilt datenschutzfördernden Technologien und dem Spannungsverhältnis zwischen Privatsphäre und digitaler Vernetzung.

8 Kommentare

  1. Vielleicht mal ganz kurz beihelfen: Wenn SSL verwendet wird und eine zentrale Authentifizierungsstelle (“Trust Center” und so) keine Identitätsüberprüfungen von Inhalte-Anbietern im Web vorgenommen hat, dann erscheint in Webbrowsern eine Warnung, dass zwar verschlüsselt übertragender Datenaustausch vorliegt, dass aber für den Inhalte-Anbieter sozusagen keine Garantie übernommen werden kann, – und “Let’s encrypt” leistet jetzt inwiefern mehr?

    MFG
    Dr. Webbaer

    • PS:
      Die Mehrleistung besteht hierin, ‘Überprüft wird dabei lediglich, ob der Antragsteller die technische Kontrolle über den Webauftritt, der über eine Domain erreichbar ist, hat; dazu sendet die Zertifizierungsstelle eine sogenannte Challenge an den Server, die dann von einem Softwaretool positiv beantwortet wird (Response).’, in dem Sinne, dass der Inhalte-Anbieter noch der einstmals vorhabende Inhalte-Anbieter ist?!

  2. Lets encrypt bestätigt, das die Inhalte von Besitzer der Domäne kommen und nicht von einem möglichen man-in-the-middle. Wegen kurzer Laufzeit der Zertifikate kann da auch nicht so leicht bzw dauerhaft etwas gefaked werden. In den meisten Fällen dürfte diese zusätzliche Sicherheit schon ausreichen, d.h. Das die empfangenen Daten wirklich von da stammen, von wo man sie erwartet und umgekehrt. Ob die Domain dann nachweislich von Fritz Schulz ist, ist durch andere Wege verifizierbar.

    • Lets encrypt bestätigt, das die Inhalte von Besitzer der Domäne kommen […]

      Womöglich präziser:
      ‘Lets encrypt bestätigt, das die Inhalte [] von der Domäne kommen’, was allerdings “nicht so der Kick” zu sein scheint.
      Bei den genannten MitM-Attacken weiß Ihr Kommentatorenkollege im Moment auch nicht so recht zu deuten.

      MFG
      Dr.. Webbaer

  3. Um das nochmal hervorzuheben: Das EFF Angebot richtet sich vorwiegend an die Betreiber privater, nichtkommerzieller Websiten, für die sich Zertifikate bisher aus finanziellen Gründen nicht gelohnt haben. Für Leute mit kommerziellem Hintergrund sind diese Zertifikate nicht rechtssicher genug (Wer ist die juristische Person dahinter, etc.?)

    Es geht vor allem darum, möglichst viel zu verschlüsseln, dazu beizutragen, dass Verschlüsselung überall und jederzeit der Standard wird (und nicht wie bisher die Ausnahme bleibt)

    • ah, als Ergänzung:
      Für staatliche Lauscher stellt das kein grosses Hindernis da, da gibt es sehr viele Wege, die Daten abzuzapfen und ggf eine MitM Attacke zu realisieren.
      Zur Abwehr des gemeinen Online-Kriminellen ist es jedoch eine hochwirksame Massnahme, um einen ungewollten Datenabfluss zu behindern.

  4. Pingback:Unsicherer Webserver sind hässliche Visitenkarten › Datentyp › SciLogs - Wissenschaftsblogs

Schreibe einen Kommentar