This Content Component encountered an error
This Content Component encountered an error
This Content Component encountered an error

Let’s Encrypt ist eine kostenlose und offene Certificate Authority. Sie erlaubt es jedermann, Verschlüsselung auf dem eigenen Webserver einzurichten und die Seiten zu schützen. Die Tools, die Let’s Encrypt mit Partnern wie der Electronic Frontier Foundation (EFF) entwickelt hat – allen voran certbot – machen es Admins einfach, eine TLS-Verschlüsselung zu implementieren. Sie erlauben auch das Automatisieren von Sicherheitsfunktionen und andere Verschlüsselungsfeatures.

Das große Ziel von Let’s Encrypt ist es, ein sicheres Internet zu ermöglichen, bei dem alle Übertragungen geschützt sind. Let’s Encrypt hat zahlreiche große Sponsoren, darunter Mozilla, Cisco, die Electronic Frontier Foundation, Google und Facebook, die den Dienst aktiv unterstützen. Dazu kommt eine große Community an engagierten Entwicklern.

Problematisch ist allerdings, dass Let’s Encrypt nur wenig unternimmt, um die Domain-Validation-Zertifikate einem Sicherheitscheck zu unterziehen. Ein Domain-Validation-Zertifikat validiert lediglich, ob Sie die Domain kontrollieren. Das geschieht normalerweise per E-Mail. Das bedeutet, dass sich Angreifer Domains mit ähnlichen Namen wie populäre Webseiten sichern und diese mit einem Zertifikat schützen können. Der Großteil dieser Domains wird wahrscheinlich für Phishing-Kampagnen genutzt, die dank der legitimen SSL/TLS-Zertifikate ihren bösartigen Inhalt verbergen und ähnlich klingende Webseiten imitieren können.

Let’s Encrypt hat das Problem erkannt und beginnt damit, die Sessions zu verschlüsseln. Sie fokussieren sich dabei auf Automatisierung anstatt jede Applikation einzeln unter die Lupe zu nehmen. Aktuell hat Let’s Encrypt allerdings keine Ressourcen, um jedes Zertifikat zu überprüfen. Die Organisation möchte nicht als Zensor auftreten, um jedes Zertifikat einzeln zu genehmigen.

Sicherheit kostet Geld

Andere Zertifikatausgeber bieten eine Organization-Validation- und Extended-Validation-Zertifikate an. Diese erfordern zusätzliche Schritte bevor ein Zertifikat ausgestellt wird. Dies sind auch die Zertifikate, die die Adressleiste grün färben und mit den Namen des Unternehmens versehen. Diese Art der Zertifikate ist allerdings teuer, die meisten Nutzer werden diese nicht benötigen. Die Option, dass eine grundlegende Verschlüsselung per Let’s Encrypt kostenlos zu haben ist, hilft zwar bei der Verschlüsselung des Internets, lässt aber ein paar Lücken offen, die Angreifer nutzen können.

Allerdings liegt auch beim Sicherheitsbewusstsein der Anwender noch einiges im Argen. Wenn jemand auf eine Seite klickt und annimmt, dass er aufgrund einer HTTPS-Adresse oder des kleinen Schlosses komplett sicher ist, dann ist der Aufklärung noch nicht genüge getan. Vielleicht war es in der Vergangenheit weniger risikoreich, einen verschlüsselten Link zu klicken, aber auch das hat Anwender nicht vor bösartigen Inhalten geschützt. Solange Nutzer HTTPS mit absoluter Sicherheit gegen alle Bedrohungen gleichsetzen, gilt es, das Sicherheitsbewusstsein der Anwender weiter zu schärfen.

Zudem wäre auf Seiten von Let’s Encrypt ein System wünschenswert, das besser überprüft, wie Zertifikate ausgegeben werden. Es gibt eine schmale Grenze zwischen Offenheit und dem Erlauben von Missbrauch. Let’s Encrypt hat einiges getan, um das Internet sicherer zu machen. Dennoch würde eine zusätzliche Überprüfung nicht schaden, im Gegenteil, der Dienst würde dadurch deutlich besser. Das mag nicht einfach, sollte aber machbar sein. Auch eine kostenlose Zertifizierungsstelle galt mal als wenig wahrscheinlich.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Nutzung von Zertifikaten und Schlüsseln stark angestiegen

Was bedeuten kostenlose Zertifikate für Sicherheitsverantwortliche?

Kann Googles Certificate Transparency den Zertifikatsmissbrauch verhindern?

Die Ausfallsicherheit von Webservern verbessern

Artikel wurde zuletzt im Juli 2017 aktualisiert
This Content Component encountered an error
This Content Component encountered an error
This Content Component encountered an error
This Content Component encountered an error

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close