Kostenlose SSL Zertifikate: Let’s Encrypt gibt die neue RootCA bekannt

Veröffentlicht von Schroeffu am

lets_encrypt_blog_schroeffuMit viel Hoffnung und etwas Anspannung verfolge ich das Projekt Let’s Encrypt, welches von der Mozilla Foundation ins Leben gerufen wurde. Das Ziel sollen vollständig kostenlose und in jedem Browser gültige SSL Zertifikate sein, welche mit nur zwei Zeilen auf dem eigenen Root Server installiert werden können. Letzte Woche gab es einen weiteren Schritt in Richtung Veröffentlichung Mitte 2015, es wurden die neuen Root CA & Intermediate’s erstellt & veröffentlicht.

Root CA: ISRG Root X1, Issuer: ISRG Root X1, Internet Security Research Group
Intermediate 1:  Let’s Encrypt Authority X1, Issuer: ISRG Root X1, Internet Security Research Group
Intermediate 2: Let’s Encrypt Authority X2, Issuer: ISRG Root X2, Internet Security Research Group

Let’s Encrypt soll erst „ungefähr Mitte 2015“ vollumfänglich verfügbar sein. Einmal am Ziel angelangt, werden folgende zwei Befehle ausreichen um eine beliebige Webseite mit SSL zu verschlüsseln:

$ sudo apt-get install lets-encrypt
$ lets-encrypt example.com

Neue RootCA werden selbstverständlich nicht einfach so von allen Browsern & Mobile-Geräten akzeptiert, dieser Prozess dauert Jahre. Ich hatte ja die irre Vorstellung, die Projektleitung von Mozilla würde eine bereits bekannte RootCA überreden diese kostenlosen Zertifikate auzustellen. Aber Mozilla greift hier dank IdentTrust als Partner in die Trickkiste.

Es gibt bei SSL-Signeten die Möglichkeit eines Cross-Sign, also dass ein von Let’s Encrypt ausgegebenes Zertifikat zusätzlich von einer zusätzlichen CA (Certificate Authority) signiert wird. In Fall von Let’s Encrypt konnte IdentTrust als Partner gewonnen werden, welches die beiden Intermediate`s von Let’s Encrypt mittels Cross-Sign doppelsigniert (Grafik unten). IdentTrust wird dazu ihr DST Root CA X3 „opfern“, das übrigens schon 2021 ausläuft (Erstellt: Jahr 2000). Die Browser Akzeptanz wird hervorragend sein.

lets_encrypt_intermediate_cross_sign

Die Trickkiste Dank IdenTrust

Ich weiss nicht ob allen Lesern die Bedeutung dieser kostenlosen Zertifikaten klar ist. Endlich können ohne viel Aufwand alle Webseiten verschlüsselt erreicht werden, ohne diese ekligen Fehlermeldungen aus den Self-Signed Zertifikaten. Dazu kommt, dass immer mehr Outgoing-Proxies in Firmennetzwerken den Zugriff auf Self-Signed Sites komplett sperren – so zum Beispiel auf mein persönlich gehostetes WebMail oder OwnCloud – und das nervt einfach gewaltig! Es ist wirklich höchste Eisenbahn, dass das Verschlüsseln & offizielle Zertifizieren einer Webseite mit nur wenigen Handgriffen gratis möglich ist. Bleibt eigentlich nur noch die Frage, ob die NSA den Master Key schon erhalten hat? Immerhin ist Firmensitz der ISRG in Kalifornien…

Kategorien: Dedicated ServerLinux
Schlagwörter:

Schroeffu

Der Autor ist Schweizer, verheiratet, war 7 Jahre in DE und nun allesamt zurück in die CH. Als Vater von inzwischen zwei Kindern stellt sich die Frage: Wann bekommen die Kids ein eigenes Linux Laptop? ;-D

0 Kommentare

Schreibe einen Kommentar

Avatar-Platzhalter

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Verwandte Beiträge

Linux

Frontalangriff auf RHEL Satellite? SUSE Manager unterstützt 9+ Distributionen

SUSE hat ein Werbevideo zum SUSE Manager in ihrem Youtube Kanal, das ganz konkret den RHEL Satellite frontal angreifen möchte. Der «SUMA» könne nämlich 15 Distributionen verwalten.

Linux

Crowdfunding zu LibreOffice „Voice Aufnahmen in Slides“ noch 42 Tage

Der Verein CH Open hat eine Crowdfunding-Kampagne gestartet, um in LibreOffice Impress in den Slides Audioaufnahmen zu erstellen und zu platzieren.

Linux

Meine Erfahrung zu 2 Jahre Android ohne Google (LineageOS ohne MicroG)

Ich nutzte das Mi 9T Smartphone mit LineageOS fast exakt 2 Jahre lang mit 100% ohne Google. Kein MircoG. Keine Google Play Services. Kein Google Push. Und du fragst dich bestimmt: Wie gut kann das funktionieren?