Let’s Encrypt ist kostenlos – aber nicht umsonst

6 Min.
Let’s Encrypt ist kostenlos – aber nicht umsonst

Nachdem glücklicherweise immer mehr Hoster Let’s Encrypt™ Zertifikate, also kostenloses SSL, anbieten, wird es Zeit die Initiative hinter diesem SSL für alle einmal näher zu beleuchten. Was genau macht Let’s Encrypt? Warum sind die Zertifikate kostenlos? Was kann Let’s Encrypt schon und wo besteht noch Nachholbedarf? Diese und weitere Fragen besprechen wir in diesem Hintergrundartikel.

Die Verschlüsselung des Datenverkehrs wird immer mehr zum Standard im Netz. Zum Glück! Nachdem auch wir – vor mittlerweile ca. einem Jahr – Let’s Encrypt integriert haben, macht es Sinn das Projekt etwas näher zu beleuchten.

Let’s Encrypt ist eine relativ junge Zertifizierungsstelle (die Beta startete 2015) für SSL Zertifikate – auch Certification Authority (CA) genannt. Die Initiative hat einen automatisierten Prozess geschaffen, über den SSL Zertifikate ausgestellt werden. Diese zeigen dem Besucher einer Seite, dass er sich auf der “echten” Website befindet und dass der Datenverkehr zwischen Browser und Webserver verschlüsselt wird.

Ja, Let’s Encrypt Zertifikate sind wirklich kostenlos

Die drängendste Frage zuerst: Ist Let’s Encrypt wirklich kostenlos? Um es kurz zu machen: Ja, weder die Zertifikate, noch die benötigten Programme kosten Geld. Bei vielen werden hinter dieser Frage jedoch nicht rein wirtschaftliche Beweggründe stehen, sondern vor allem die Frage danach, warum Let’s Encrypt kostenlos ist. Warum also ein Produkt, das sich andere Organisationen zuvor entlohnen ließen, plötzlich kostenlos angeboten wird.

Gemeinnützigkeit und Sponsoren machen Let’s Encrypt kostenlos

Let’s Encrypt ist ein Non-Profit-Projekt und muss kaum Personal bezahlen. Zudem findet das Gros der Prozesse automatisiert statt. Somit fällt eine große finanzielle Belastung weg. Auch die benötigte Hardware ist durch die Kooperation mit der Linux Foundation zu großen Teilen abgegolten. Für alle weiteren Kosten sind die Sponsorengelder und Spenden gedacht.

Jedermann kann der Organisation einen beliebigen Geldbetrag via Paypal spenden. Für größere Summen und Organisationen wurde ein Sponsoringsystem geschaffen. Das teuerste Paket kostet 350.000$, kleinere Unternehmen sind für Beträge zwischen 10.000$ und 50.000$ dabei – je nach Zahl der Beschäftigten.

Nun spielen in diesem Zusammenhang nicht nur wirtschaftliche Überlegungen eine Rolle, sondern auch die Frage nach den Beweggründen der Organisatoren. Hier gibt es zum einen das altruistische Argument: HTTPS soll zum Standard im Internet werden und jeder Seitenbetreiber weltweit soll in die Lage versetzt werden seine Website einfach und kostenlos an diesen anzupassen.

It’s time for encrypted communications to be the default on the web and Let’s Encrypt is going to make it happen. – Let’s Encrypt

Der zweite wichtige Beweggrund ist der Wille, Gleichberechtigung im Netz zu schaffen. Immerhin ist das Vorhandensein eines SSL-Zertifikats mittlerweile ein Rankingkriterium für Google geworden. Und wenn sich bestimmte Websites entweder die Zertifikate nicht leisten können oder keinen Zugang zu solchen haben, grenzt dies diese Seiten – und damit bestimmte Personen und deren WordPress-Projekte – von der Teilhabe im Internet aus.

We provide certificates free of charge, because cost excludes people. Our certificates are available in every country in the world, because the secure Web is for everyone. – Let’s Encrypt

Der Gerechtigkeits- und Gleichberechtigungsgedanke scheint somit das zentrale Element der Bestrebungen von Let’s Encrypt zu sein.

Let’s Encrypt wird von vielen Branchengrößen unterstützt

Neben den offiziellen Sponsoren, zu denen Größen wie Mozilla, Cisco, Chrome oder Facebook zählen, gehören auch Unternehmen aus dem WordPress-Bereich zu den Unterstützern des Let’s Encrypt-Projekts. Beispielsweise Automattic oder wpbeginner. Vor allem diese Unternehmen und Organisationen passen durch ihre WordPress-spezifische Sicht auf das Internet und ihre Motivation hervorragend zu Let’s Encrypt.

Automattic ist übrigens Silbersponsoren, was jährliche Kosten von 50.000$ bedeutet. Automattic hat sich vor allem durch seine standardmäßige Integration von Let’s Encrypt Zertifikaten für auf WordPress.com gehostete Seiten hervorgetan.

Let's Encrypt SSL Zertifikat kostenlos
Platin- und Goldsponsoren der Let’s Encrypt Initiative aus dem Jahr 2016. Facebook ist mittlerweile Silbersponsor, gemalto taucht nicht mehr in der aktuellen Sponsorenliste auf.

Let’s Encrypt ist das Projekt, die Organisationsstrukturen sind wesentlich größer

Let’s Encrypt selbst ist lediglich der Zertifizierungsservice, also die Autorität, die die Zertifikate ausstellt. Das organisatorische Gesamtkonstrukt ist aber deutlich größer. Die Mutterorganisation von Let’s Encrypt ist die Internet Security Research Group (ISRG) mit Sitz in San Francisco. Dem Vorstand dieser Non-Profit-Organisation gehören Wissenschaftler, Unternehmensvertreter und Vertreter von Stiftungen und weiteren gemeinnützigen Organisationen an.

Mindestens zwei weitere Institutionen werden im Zusammenhang mit Let’s Encrypt ebenfalls wichtig. Zum einen die Electronic Frontier Foundation (EFF), die seit Mai 2016 Certbot, die Zertifizierungssoftware für das Erstellen von Let’s Encrypt Zertifikaten, betreut. Zum anderen die Linux Foundation, die über ihr Collaborative Projects-Programm die technische Infrastruktur für Let’s Encrypt bereitstellt.

Insgesamt betreuen also gleich mehrere Teams aus Non-Profit-Organisationen Let’s Encrypt und die entsprechende Infrastruktur.

Die größte Stärke von Let’s Encrypt ist die einfache Bedienung

Die drei größten Stärken von Let’s Encrypt sind sicherlich, dass die Zertifikate umsonst sind, dass Let’s Encrypt und die benötigte Software stetig weiterentwickelt und verbessert werden und dass die Einrichtung der Zertifikate verhältnismäßig einfach ist.

Den Aspekt der kostenlosen Zertifikate haben wir ja bereits besprochen. Zusätzlich dazu wird Let’s Encrypt aber auch ständig weiterentwickelt. Zuletzt sind die Zertifikate, für jeden mit entsprechenden Fähigkeiten und Zugriffsrechten, auch recht einfach einzurichten. Auch das Erlernen der nötigen Schritte ist nicht zwingend schwer. Es muss lediglich der Certbot genutzt und der Webserver mit den jeweiligen Zusatzmodulen versehen werden. Schon können Zertifikate eingerichtet und erneuert werden.

Die größte Schwäche von Let’s Encrypt ist die Kompatibilität

Derzeit ist die Zertifikatspalette mit nur einem Zertifikat sehr überschaubar. Das wird sich in Zukunft auch nicht ändern, denn die erweiterten Validierungen, die für OV- oder EV-Zertifikate benötigt werden, können nicht automatisiert werden und kosten zudem Geld. Gerade die Automatisierung ist es aber, die Let’s Encrypt Zertifikate kostenlos macht. Erweiterte Validierungen sind somit derzeit nur schwer mit dem Grundgedanken von Let’s Encrypt zu vereinen, auch wenn es erste Ideen gab, wie die Validierung zum Beispiel in die Community ausgelagert werden könnte. Unseres Wissens nach wurden die Pläne für die Einführung erweiterter Validierungen aber bisher nicht weiter verfolgt.

Zwar sind die Zertifikate für Profis nicht schwer einzubinden, für Laien, oder bei Personen mit nur eingeschränktem Zugriff auf ihren Webserver, kann es aber unter Umständen unnötig viel Zeit in Anspruch nehmen die Serverkonfiguration für den Certbot anzupassen, die Zertifikate zu ordern, diese einzubinden und regelmäßig zu erneuern. Insbesondere ist die Laufzeit eines Let’s Encrypt SSL-Zertifikats wesentlich geringer, als die eines “normalen” Zertifikats. Alle 90 Tage müssen Let’s Encrypt Zertifikate erneuert werden. Ein klassisches SSL-Zertifikat ist hingegen 12, 24 oder gar 36 Monate lang gültig und bedarf in diesem Zeitraum in der Regeln keiner technischen Pflege.

Bei Problemen ist man zudem komplett auf sich alleine gestellt und kann keine Support-Dienstleistungen von Let’s Encrypt in Anspruch nehmen. Es existiert allerdings ein umfangreiches Support-Forum der Community. In der Anfangszeit war zudem die Kompatibilität der kostenlosen SSL-Zertifikate mit verschiedenen Browsern ein Problem. Mittlerweile können aber alle großen Browser mit den Zertifikaten umgehen. Probleme gibt es eigentlich nur noch bei veralteter Software.

Verfügt man also nicht über die nötigen Fähigkeiten, kann die eigenhändige Einbindung eines Zertifikats, inklusive Tests, Fehlersuche und -behebung, deutlich teurer sein, als der Kauf eines SSL-Zertifikats. Auch das ist mittlerweile aber eher ein theoretisches Problem. Denn viele Hoster unterstützen entweder eine einfache 1-Klick-Installation der Zertifikate, oder bieten kostenlose Basis-Zertifikate anderer Zertifizierungsstellen an.

Fazit: Let’s Encrypt hat ein hehres Ziel, das unterstützt werden sollte

Let’s Encrypt will nach eigenen Angaben das Internet sicherer und schneller machen und das vor allem für solche Nutzer die bisher keinen Zugang zu SSL-Zertifikaten hatten. Für professionelle Webseitenbetreiber hat Let’s Encrypt vor allem einen Kosten-, Vertrauens- und SEO-Vorteil, wenn auch nur für Domainvalidierungen. Ob in absehbarer Zeit auch erweiterte Validierungen angeboten werden, ist zu bezweifeln – vorausgesetzt das Automatisierungsproblem kann nicht gelöst werden.

Die Nutzung der Zertifikate sorgt jedoch nicht nur für kostenlose Verschlüsselung – und bei dem ein oder anderen für ein tiefergehendes Verständnis für Sicherheit im Internet –, sondern auch für eine indirekte Unterstützung des guten Zwecks hinter Let’s Encrypt. Wir haben Let’s Encrypt vor allem deswegen integriert, weil wir an den Nutzen des Projekts glauben. Denn die Zertifikate sind zwar kostenlos, deren Nutzung aber nicht umsonst, sondern hoffentlich ein Beitrag zu einem neuen Sicherheitsstandard im Netz.

Wenn du noch Fragen zu Let’s Encrypt hast, schau auch in unseren Übersichtsartikel, in dem wir viele wichtige Infos zu den kostenlosen Zertifikaten zusammengefasst haben. Oder poste deine Frage einfach als Kommentar unter diesen Beitrag.

Als Systemadministrator wacht Tobias über unsere Infrastruktur und findet jede Stellschraube, um die Performance unserer Server zu optimieren. Durch seinen unermüdlichen Einsatz ist er des Öfteren auch nachts in Slack anzutreffen.

Ähnliche Artikel

Kommentare zu diesem Artikel

M
Markus Schmidt

Wenn ich die freundlichen Unterstützer bei dem Projekt sehe, sind das nicht fast alles auch Unterstützer der NSA?

Welche direkten Zugriffe sind denn bei dem Script System grundsätzlich möglich? Die könnten doch problemlos Seiten, die verschlüsselt sind, lesen. Immerhin befinden sich deren Scripte doch auf dem entsprechenden Server.

Was ist das denn für eine Sicherheit?

Ich traue Zertifizierer grundsätzlich nicht und stelle meine eigenen Zertifikate aus, natürlich mit den bekannten Nachteilen.

Torben Simon
Torben Simon

Hi Markus, danke für deinen interessanten Input. Meine persönliche Meinung wenn es nach der NSA geht dann spielt es keine Rolle welche Unternehmen dort mitwirken und ob sie aus den USA kommen oder in Europa beteiligt sind. Des weiteren ist es zumindest technisch bewiesen das es zwischen kostenlosen und kostenpflichtigen SSL-Zertifikaten keinen Unterschied gibt. Für Personen die wie du sowieso gerne ihre eigenen Zertifikate ausstellen ist das natürlich eher unwichtig. Ich jedenfalls vertraue dieser groß angelegten Offensive für gratis SSL. VG Torben

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.