Let’s Encrypt – Kostenlose SSL Verschlüsselung

Im Dezember 2015 wurde eine neue Zertifizierungsstelle ins Leben gerufen und wird von verschiedenen größeren Organisationen unterstützt. Das Ziel ist es SSL-Zertifikate kostenlos und mit wenig Aufwand für jeden Serverbetreiber zu erstellen. Wie man mit Hilfe von Let’s Encrypt kostenlose SSL-Zertifikate für jede Webseite generieren kann, wird heute erklärt.

Installation und Einrichtung

Zunächst müssen die Tools von Let’s Encrypt auf den Server installiert werden. Die Einrichtung und Auflösung der Abhängigkeiten übernimmt hier ein automatisches Skript. Am Beispiel von Ubuntu bzw. Debian zeigen wir die nötigen Schritte.

Das Tool wird aus dem Git-Repository von Let’s Encrypt gezogen. Falls noch nicht installiert, benötigen wir GIT.

 apt-get install git

Die Einrichtung und Ausführung der eigentlichen Tools:

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto

Dank dem Befehl „letsencrypt-auto“ werden fehlende Abhängigkeiten, wie zum Beispiel benötigte Python-Bibliotheken,  automatisch installiert und auf dem Server eingerichtet.

Es folgt eine Eingabeaufforderung über die man die Domains auswählen kann, wofür ein SSL Zertifikat eingerichtet werden soll. Nach einigen Überprüfungen der Erreichbarkeit wird das Zertifikat letztendlich automatisch eingerichtet und auch die Webserverkonfigurationen angepasst.
Gezielt kann das Zertifikat auch für eine bestimmte Domain oder Subdomain ausgestellt werden:

./letsencrypt-auto --apache -d lamp-solutions.de

SSL-Zertifikate automatisch verlängern

Die SSL-Zertifikate von Let’s Encrypt sind nur maximal drei Monate gültig und müssen somit regelmäßig aktualisiert werden. Durch diese Beschränkung und damit verbundenen Zwangsupdates wird sichergestellt, dass eventuell bekannt gewordene Sicherheitslücken in den Verschlüsselungstools auf allen Servern, die Let’s Encrypt für ihre Zertifikate einsetzen, relativ zeitnah gefixt werden.

Damit der Verlängerungsprozess eben nicht in Vergessenheit gerät kann natürlich auch ein cronjob eingerichtet werden, der einem diese Arbeit abnimmt. Folgendes Beispiel aktualisiert das SSL Zertifikat alle 85 Tage:

0 0 */85 * * root /opt/letsencrypt/letsencrypt-auto --text --apache --renew-by-default -d www.lamp-solutions.de

Weitere Domains können jeweils mit -d angefügt werden.

Fazit

Mit „Let’s Encrypt“ ist neben Startssl ein weiterer Anbieter für kostenloser SSL-Zertifikate erschienen.

Neben der Tatsache, dass die Gültigkeit der Zertifikate von  nur auf 3 Monate beschränkt ist und das Fehlen der Möglichkeit Wildcard-Zertifikate auszustellen, bietet „Let’s Encrypt“ alles was man braucht und eine Domain unter einem offiziellen SSL-Zertifikat zu betreiben.

Aktuell befinden sich Let’s Encrypt jedoch noch in der Probephase und kann unter Umständen wieder vom Markt genommen werden. Darum ist die Nutzung dieses Dienstes stets mit etwas Vorsicht zu genießen.

Related Posts

Leave a reply