Login
Newsletter
Werbung

Do, 14. Januar 2016, 15:00

Let's Encrypt

Dieser Artikel beschreibt die Installation und die ersten Erfahrungen mit der Verwendung eines von Let's Encrypt ausgestellten Zertifikats.

Was ist Let's Encrypt?

Let's Encrypt ist eine von der Internet Security Research Group (ISRG) betriebene Zertifizierungsstelle (CA, certificate authority), die sich zum Ziel gesetzt hat, das Verschlüsseln von Daten im Internet zum Standard zu machen. Dazu stellt sie kostenlose und leicht installierbare X.509-Zertifikate zur Verfügung, mit denen Internetdienste wie zum Beispiel Webseiten sich im Internet authentifizieren und ihre Daten verschlüsseln können. Nach einer geschlossenen Testphase trat das Projekt am 3. Dezember 2015 in eine öffentliche Testphase ein, in der jeder ein Zertifikat beantragen kann.

Die ISRG ist eine gemeinnützige Organisation mit Sitz in den USA, deren Hauptsponsoren die Electronic Frontier Foundation (EFF), die Mozilla Foundation, Akamai und Cisco Systems sind.

Wozu dienen Zertifikate?

Die von einer CA ausgestellten Zertifikate haben zwei Funktionen: Erstens identifiziert sich der Internetdienst mit diesem Zertifikat, d.h. der Besucher einer Webseite kann sich sicher sein, sich wirklich auf der Seite zu befinden, welche er besuchen wollte. Zweitens wird der Datenverkehr zwischen der besuchten Webseite und dem Rechner des Besuchers verschlüsselt, sodass unbefugte Dritte, die Zugriff auf den Datenstrom haben, diesen nicht mitlesen können.

Webseiten mit einem solchen Zertifikat erkennt man daran, dass die URL (Uniform Resource Locator oder »Internetadresse«) mit https:// anstelle von http:// beginnt. Browser stellen normalerweise auch ein Vorhängeschloss in der Adresszeile vor die URL. Betreibt man nun selbst einen solchen Internetdienst und hat bisher die Komplikationen und/oder Kosten eines Zertifikats gescheut, gibt es nun einen einfachen und kostenlosen Weg, seinen Server mit einem solchen auszustatten.

Let's Encrypt stellt Zertifikate sowohl für Domains als auch Sub-Domains aus. Eine Domain setzt sich aus dem eigentlichen Domainnamen (z.B. freiesmagazin) und der TLD (Top-Level-Domain, z.B. de) zusammen: freiesmagazin.de. Sub-Domains enthalten einen weiteren vorangestellten Namensteil, welcher sich traditionell auf einen Rechner bezog, z.B. www.freiesmagazin.de. www war früher dabei der Rechner, auf dem der Webserver lief – zu Zeiten, als jeder Service seine eigene Hardware besaß.

Heute werden Sub-Domains häufig bei dynamischem DNS (Domain Name Service) verwendet. Dieser Service wird meist von Privatpersonen in Anspruch genommen, die über einen gewöhnlichen DSL-Anschluss mit dynamischer IP-Adresse mit dem Internet verbunden sind. Dabei ändert der Internet Service Provider (ISP, z.B. Telekom, Vodafone) in regelmäßigen Abständen die IP-Adresse des Anschlusses, sodass der Server im eigenen Heim nicht immer unter der gleichen IP-Adresse vom Internet aus zu erreichen ist. Um dieses Problem zu umgehen, meldet sich der Server nach jeder Änderung der IP-Adresse beim DNS Service, damit dieser die neue IP-Adresse wieder der eigenen Sub-Domain zuweist. Eine solche Sub-Domain hat die allgemeine Form meine-sub-domain.domain.tld, wobei meine-sub-domain ein frei wählbarer Name ist und domain.tld dem DNS-Anbieter gehört.

Installation von Let's Encrypt

Eines vorneweg: Dieser Artikel beschäftigt sich nicht mit dem Aufsetzen und Konfigurieren eines Webservers, sondern nur mit der Installation und dem Erneuern der Zertifikate. Die Einrichtung eines Webservers würde den Umfang eines einzelnen Artikels bei weitem übertreffen.

Als Beispiel wird in diesem Artikel ein Apache-Webserver auf Debian 8 (»Jessie«) verwendet. Die Installation und Aktualisierung der Zertifikate ist unabhängig vom verwendeten Webserver, lediglich die Einbindung in den Webserver ist verschieden.

Die Let's Encrypt-Anwendung kann entweder über das Klonen des Projektes von Github oder durch Download eines ZIP-Archivs von dort installiert werden. Let's Encrypt selbst empfiehlt die Installation von Github wegen der einfacheren Aktualisierung der Anwendung. Dazu muss zuerst git über die Paketverwaltung installiert werden. Anschließend kann das Projekt geklont werden:

$ git clone https://github.com/letsencrypt/letsencrypt

Nach dem Klonen des Projektes erscheint ein neues Verzeichnis letsencrypt. Zum Aktualisieren wechselt man in das neue Verzeichnis und führt folgenden Befehl aus:

$ git pull

Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung