Sichere https-Verbindungen sind im Internet leider immer noch die Minderheit. Ein Grund dafür waren die Kosten für anerkannte SSL-Zertifikate. Diese werden von Certificate authorities, kurz CA, ausgeben. Diese Certificate authorities beglaubigen die Zuordnung eines bestimmten Zertifikates zu einer oder mehrerer bestimmten Domains. Webbrowser deklarieren eine https-Verbindung zu einer Webseite nur als sicher, wenn das verwendete Zertifikat von einem vertrauenwürdigen CA ausgestellt wurde. Bei selbstsignierten Zertifikaten beispielsweise erscheint ein Sicherheitshinweis. Das Problem bei CA-Zertifikaten: Die meisten CA’s verlangen Geld.
SSL für Jederman mit Let’s Encrypt
Die Kosten für CA-Zertifikate waren ein großer Mitgrund dafür, weshalb https insbesondere bei privatbetriebenen Webseiten kaum verbreitet war. Dies hat sich mit Let’s Encrypt geändert. Let’s Encrypt wird von der gemeinnützigen Internet Security Research Group (ISRG) betrieben und wird mit Sponsoren-Geldern finanziert. Unter den Sponsoren sind große Namen wie Mozilla, Goolge und Facebook. Die Zertifikate werden über einen Client ausgegeben, der idealerweise auf dem Rechner ausgeführt wird, auf den die DNS-Auflösung der zu zertifizierenden Domain verweist. Ist die Authorisierung erfolgreich, wird das Zertifikat auf dem Rechner hinterlegt. Es gibt aber auch noch weitere Möglichkeiten, um ein Zertifikat zu bekommen, damit auch Nutzer eines reinen Webspace-Providers von kostenlosen Zertifikaten provitieren können. Die Gültigkeit eines Let’s Encrypt Zertifikats beträgt momentan 3 Monate. Da dies ein relativ kurzer Zeitraum ist, muss lediglich darauf geachtet werden, das Zertifikat rechtzeitig zu erneuern. Für Webseiten-Betreiber mit SSH und Root-Zugriff kann es sinnvoll sein ein Cron-Job anzulegen, welcher die Aktualisierung selbstständig vornimmt.