Das Web könnte viel sicherer sein, wenn es den Betreibern von Webseiten nicht so unnötig schwer gemacht werden würde, verschlüsselte Seiten anzubieten. Aber die Probleme mit SSL sind bekannt:

  1. SSL-Zertifikate kosten oft viel Geld. Die Anbieter, wie etwa Platzhirsch VeriSign, lassen sich die Dienstleistung, ein Zertifikat auszustellen, fürstlich bezahlen.
  2. SSL-Zertifikate sind schwer zu adinistrieren.
  3. Die Gültigkeit der Zertifikate ist mit ein oder zwei Jahren so lang, dass sie gegebenenfalls mit „brute force“ geknackt werden können.

Alle drei Probleme werden von Let’s Encrpyt (letsencrypt.org) adressiert. Auf diesen neuen Service hat mich mein Kollege Philip letzte Woche erst hingewiesen und weil mein StartSSL-Zertifikat eh in 14 Tagen ausläuft, war das der optimale Zeitpunkt. Ausprobiert, obwohl es noch beta ist funktioniert es, läuft jetzt auf dieser Website! Aber nochmal langsam zum mitlesen:

Let’s Encrypt ist eine amerikanische, gemeinnützige Organisation, welche die drei oben genannten SSL-Hürden wie folgt angeht:

  1. Let’s Encrypt ist eine Certificate Authority, die SSL-Zertifikate kostenlos herausgibt.
  2. Es gibt ein Konfigurationswerkzeug für Linux mit dem einerseits die Zertifikate erstellt und andererseits diese auch gleich installiert werden.
  3. Die Zertifikate haben nur eine Gültigkeit von nur 3 Monaten. Dann können sie über die einfache Prozedur erneuert werden.

Das Konfigurationswerkzeug wird so installiert:

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto --help

Jetzt prüft es alle Abhängigkeiten. Auf meinem Ubuntu ist es reibungslos durchgelaufen. Im nächsten Schritt kann man dann die Zertifikate erstellen und Apache konfigurieren lassen:

./letsencrypt-auto --apache

Mit diesem Befehl startet ein interaktives Programm, mit dem man unter anderem auswählt, für welche Domains das Zertifikat gelten soll. Das Programm passt die Webserver-Konfiguration an und startet Apache neu, so dass die veränderte Konfiguration schon aktiv ist. Fertig:

   Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/xxxxx/fullchain.pem. Your cert will expire
   on 2016-03-24. To obtain a new or tweaked version of this
   certificate in the future, simply run letsencrypt-auto again with
   the "certonly" option. To non-interactively renew *all* of your
   certificates, run "letsencrypt-auto renew"

So einfach, so günstig. Jetzt gibt es keine Ausreden mehr, unverschlüsselte Webseiten zu verwenden!