Seitenhierarchie
Zum Ende der Metadaten springen
Zum Anfang der Metadaten

Man mag noch so viel gutes in Ansätzen offener, Community-basierter Trusted-Networks sehen ... man muss 2015 zugeben und sagen dürfen: "Es ist gescheitert. Die breite Masse akzeptiert es nicht. Es müssen neue Dinge her". Zugegeben, das war nun sehr plakativ... bevor dein Puls auf 180 ist: lies' weiter (Zwinkern)

 

Let's Encrypt rollt einmal wieder das Thema "Certificate Authorities" auf, sprich: wer sagt eigentlich, dass so eine CA glaubwürdig ist, und warum nimmt sich der eine das Recht heraus von den andren dafür Geld zu verlangen. De Facto sind diejenigen heute CAs, die sich teuer in Betriebssysteme (ich will ja nun keine Namen nennen - Microsoft Windows *hust*) einkaufen konnten; ja richtig, wer viel Geld bezahlt muss ja auch schließlich gut sein, nicht?!

Auf jeden Fall haben wir bisher verschiedene Probleme, das der Vertrauensstellung ist eines, das der Komplexität die das Thema nun einfach von Natur aus mit sich bringt eine andere.
Let's Encrypt setzt auch hier an, das ganze soll soweit automatisiert und mit einem Nutzerfreundlichen Tool möglich sein, sodass niemand die Ausrede "aber ich habe ja nicht gewusst wie ich das machen soll" mehr anbringen kann.

Was bietet nun Let's Encrypt?

  1. kostenfreie Zertifikate für jedermann und jeden-Server
  2. ein sehr Nutzerfreundliches, Dialog-geführtes Setup bis hin zur Installation der Zertifikate im Webserver

 

Nicht wundern, die Zertifikate sind per se immer nur 90 Tage gültig!
Warum: Das lest Ihr hier: https://letsencrypt.org/2015/11/09/why-90-days.html

 

Was brauche ich dafür

  1. wie immer etwas Zeit
  2. den Let'sEncrypt "client"
  3. deine Liste der "Websites" (Domains) für die du Zertifikate ausstellen möchtest
  4. 2-3 Konsolen-Befehle
    https://letsencrypt.org/howitworks/

 

Bis zum 3. Dezember 2015 noch limited Beta: https://letsencrypt.org/2015/11/12/public-beta-timing.html

 

Wie sieht das aus, funktioniert das in ...

ja, keine Angst: Ihr könnt ja mal prüfen ob ihr auf

Aber, aber ... es muss doch einer CA sein ...

Theoretisch ja, das "root" Zertifikat muss natürlich bekannt sein, darum kümmert sich die letsencrypt.org Initiative. Die Ausstellung der Zertifikate basiert auf einem offenen Standard: ACME

Wen es genauer interessiert, liest bestenfalls einmal hier nach: https://letsencrypt.org/howitworks/technology/

 

Ich will das aber manuell machen

https://gethttpsforfree.com/

Summary / TL;DR

  • https://letsencrypt.org/ vereinfacht die Erstellung und Installation von Server-Zertifikaten soweit, dass es selbst Otto Normal auf Computer-Bild Niveau schafft.
    • Kostenpflichtige Server-Zertifikate: adé
  • Let's Encrypt ist gerade erst am Anfang
    • Es funktioniert schon heute!!! und ist nicht bloß theorie
    • Es bleibt abzuwarten ob sich dies bewährt oder ob nicht findige das System kompromittieren und am Ende das gleiche Problem im Raum steht wie bisher:
      Wer sagt denn wer wem trauen kann?
    • Die Unterstützung von verschiedenen Serverkonfigurationen ist aufwendig und bedarf jeder Menge Mitarbeit, auch eure.
      Engagiert euch, Ihr bekommt ja auch etwas zurück!
  • Wer sagt, dass sich nicht Trusted Networks mit denen von Let's Encrypt kombinieren lassen (Zwinkern)

 

P.S: Fun-Fact: wer nun denkt, dass er mit https://acme-v01.api.letsencrypt.org/directory sowas wie eine example.com Adresse genannt bekommt, irrt (Zwinkern)

 

Weiterführende Dokumentationen:

  • Keine Stichwörter