Ist Let’s Encrypt sicher? Let’s Encrypt bietet kostenlose Sicherheitszertifikate an. Bedeutet „kostenlos“ zugleich auch unsicher? Oder sind die Let’s Encrypt Zertifikate sicher und können bedenkenlos genutzt werden?
„Was kostenlos ist, kann nichts taugen“ – und so stellt sich für viele Benutzer die Frage:
Ist Let’s Encrypt sicher?
Was ist Let’s Encrypt?
„Let’s Encrypt“ steht für „lasst uns verschlüsseln“ und ist eine Zertifizierungsstelle, die bereits Ende 2015 in Betrieb gegangen ist, seit 2016 auf reges Interesse stößt und sich rasch verbreitet. Bereits im März 2016 waren mehr als eine Million Zertifikate ausgestellt worden.
Schlug – je nach Hoster bzw. Zertifikatsanbieter – bisher ein einziges SSL-Zertifikat pro Jahr mit 100 Euro (und mehr) zu Buche, so bot Let’s Encrypt erstmals kostenlose Zertifikate an. Und das mit Erfolg: war die Beantragung und Einrichtung von SSL-Zertifikaten bis dahin relativ aufwendig, so dauert die Einrichtung einer HTTPS-Verschlüsselung auf einem Linux-Server mit Let’s Encrypt weniger als eine Minute.
Die Entwicklung kostenloser SSL-Zertifikate wurde durch Sponsoren wie die EFF (Electronic Frontier Foundation), Mozilla Foundation (Browser: Firefox), Google Chrome, Cisco Systems und Akamai möglich.
Let’s Encrypt nutzt ein RSA-Stammzertifikat, welches durch die Zertifizierungsstelle IdenTrust gegengezeichnet wird.
Ist Let’s Encrypt sicher?
Ja: Let’s Encrypt ist sicher und nicht unsicherer als andere, kostenpflichtige SSL-Zertifikate.
Dennoch hört man oft die Einschätzung: „Etwas, das kostenlos angeboten wird, kann unmöglich genauso sicher sein wie eine kostenpflichtige Lösung!“
Der Gedanke dahinter ist, dass kostenpflichtige Anbieter entsprechende Einnahmen generieren, um ihr Technik weiterzuentwickeln und kontinuierlich zu verbessern.
Hinzu kommt, dass manche Anbieter zusätzlich Sicherheitsbedenken schüren. Denn ein kostenloser Anbieter stellt per se eine Gefahr für das Geschäftsmodell der etablierten Unternehmen dar. Auch Hoster verkaufen ihren Hostingkunden SSL-Zertifikate. Mit Let’s Encrypt lässt sich allerdings nichts verdienen.
Wer beispielsweise beim Hoster Mittwald ein SSL-Zertifikat beantragen möchte, bekommt aktuell fünf verschiedene Lösungen angeboten. Deren Sicherheit wird mit den Stufen 1 bis 4 angegeben, wobei Stufe 4 die sicherste Stufe darstellt. Let’s Encrypt erhält dabei nur Stufe 1.
Auffällig ist auch, dass andere Hoster ihren Kunden das kostenlose Let’s Encrypt bereits seit mehr als einem Jahr angeboten hatten bevor Mittwald sich dazu entschloss, nachzuziehen. Zu diesem Konzept passt es, dass Let’s Encrypt nur für „Webvisitenkarten“ empfohlen wird. Dabei lässt sich das SSL-Zertifikat durchaus auch auf großen, umfangreichen und gut frequentierten Websites einsetzen.
Wie sicher ist Let’s Encrypt?
Ein kostenloses SSL-Zertifikat von Let’s Encrypt ist genauso sicher wie ein kostenpflichtiges Zertifikat und erfüllt denselben technischen Nutzen.
Sie sollten sich daher nicht von zuvor gezeigten „Vertrauensstufen“ verunsichern lassen.
Bezüglich der Sicherheit von SSL-Zertifikaten muss zwischen zwei unterschiedlichen sicherheitsrelevanten Eigenschaften unterschieden werden:
- das SSL-Zertifikat
- die Zertifizierungsstelle.
Die SSL-Zertifikate dienen zur Authentifizierung zwischen Benutzer-Browser und Webserver. Sie sorgen dafür, dass Webserver und Browser die korrekten öffentlichen und privaten Schlüssel erhalten, um eine verschlüsselte Verbindung aufzubauen.
Damit die Verschlüsselung zustande kommt, sind entsprechende Zertifikate erforderlich, die von der Zertifizierungsstelle bereitgestellt werden. Sind Root-Zertifikat und alle anderen vorgeschalteten Zertifikate gültig, so kommt die verschlüsselte Verbindung zustande.
Während die SSL-Zertifikate von kostenlosen Anbietern sich nicht grundlegend von denen kostenpflichtiger Anbieter unterscheiden, gibt es Unterschiede bei den Zertifizierungsstellen (= CA = Certification Authority).
Ist die Zertifizierungsstelle eines gewinnorientierten Unternehmens zuverlässiger als die eines kostenlosen Anbieters? Was bedeutet es, wenn hinter Let’s Encrypt Unternehmen wie Chrome, Cisco, Mozilla oder Linux stehen – und sei es auch nur als Sponsoren?
Hier muss jeder Webseitenbetreiber für sich selbst entscheiden, welcher Zertifizierungsstelle er mehr Vertrauen entgegenbringt und wie viel er sich ein (gegebenenfalls) höheres Vertrauen kosten lässt.
Warum sollte ich meine Webseite mit Let’s Encrypt verschlüsseln?
Webseite mit Let’s Encrypt oder einem anderen Anbieter verschlüsseln
Die Let’s Encrypt-Initiative hat sich zum Ziel gesetzt, verschlüsselte Kommunikation im Internet zu einem Grundrecht zu machen. Dank finanzkräftiger Sponsoren ist dies kein Hirngespinst, sondern ein durchaus machbares Vorhaben.
SSL-Zertifikate machen einen Internetauftritt sicherer. Durch die Verschlüsselung wird die Echtheit des angesteuerten Servers bestätigt und die Kommunikation zwischen Server und Client (also dem Benutzer-Browser) verschlüsselt. Das verhindert, das unbefugte Dritte die Datenkommunikation auf dem Weg vom Server zum Client (oder zurück) auslesen.
Während SSL-Verschlüsselung früher hauptsächlich in sensiblen Bereichen wie dem Online-Banking oder Online-Shops eingesetzt wurde, steht sie nun ohne Zusatzkosten für jeden Webseitenbetreiber kostenlos zur Verfügung.
Sie zu nutzen bringt eine Reihe von Vorteilen:
- Psychologischer Effekt: nicht unterschätzt werden sollte der psychologische Effekt eines (grünen) Schlosses. Der Besucher assoziiert das mit einer gut gesicherten, modernen Webseite.
- Seit dem HTTP/2-Standard laufen verschlüsselte Seiten deutlich schneller als unverschlüsselte Seiten sofern SPDY installiert ist. Denn durch Maßnahmen wie Multiplexing und Datenkompression lässt sich die Datenübertragung optimieren.
- Google hat bereits vor einigen Jahren bekannt gegeben, dass SSL-Verschlüsselung ein Ranking-Kriterium ist. Verschlüsselte Webseiten erhalten gegenüber unverschlüsselten Websites einen Bonus.
- Browser weisen auf unsichere Webseiten hin, insbesondere auf Inhaltsseiten mit Formularen. Damit verunsichern sie die Besucher. Umgekehrt sorgt eine sichere SSL-Verbindung für einen Vertrauensbonus.
- Google hat bekannt gegeben, dass der hauseigene Browser Chrome ab Juli 2018 unsichere Webseiten deutlich markiert und auf diesem Wege sozusagen „abstraft.“
- Die Datenschutzgrundverordnung (DSGVO) tritt am 25.05.2018 in Kraft. Sie verpflichtet Webseitenbetreiber zwar nicht per se zur Nutzung einer sicheren SSL-Verschlüsselung. Werden auf Inhaltsseiten jedoch sensible oder persönliche Daten abgefragt – dazu reicht bereits ein Kontaktformular – so ist auch eine HTTPS-Verschlüsselung dieser Inhaltsseiten erforderlich.
Sie mögen unseren Beitrag Ist Let’s Encrypt sicher? und möchten ihn weiterempfehlen? Dann dürfen Sie ihn gerne über Social-Media-Kanäle wie Facebook teilen. Nutzen Sie dafür einfach den entsprechenden Button unterhalb dieses Beitrags oder in der linken Leiste.
Stichworte: Ist Let’s Encrypt sicher?, Wie sicher ist Let’s Encrypt?
Ist Let’s Encrypt sicher? Klare Antwort: JA.
Zumindest sicher genug für jeden „normalen“ Webseitenbetreiber der heutzutage ja von Firefox, Safari, Chrome und Google geradezu genötigt wird, seine Webseite mit SSL-Schutz auszustatten. Ein Großteil der Webseiten hat als sensiblen Bereich bestenfalls ein Kontaktformular. Um so was abzusichern reicht Let’s Encrypt locker. Und auch sonst ist Let’s Encrypt absolut sicher. Da sollte man sich nicht von so einem Quatsch verunsichern lassen, wenn Mittwald mit seinem einen, mageren Schloss den Eindruck erwecken will, Let’s Encrypt sei nicht sicher.