Skip to content

Let's Encrypt: kostenlose SSL Zertifikate für alle

Die Daten die wir im Internet eingeben laufen im Zweifelsfall um die halbe Welt und spätestens seit Snwoden hat wohl jeder mitbekommen, dass die Daten zwischendurch auch abgegriffen werden können.
Nun mag man wohl zu Recht davon ausgehen, dass die NSA nicht über den persönlichen Amazon-Account etwas bestellen wird aber das Problem betrifft zum Beispiel auch WLAN-Verbindungen. In einem WLAN kann jeder mithören der es will.
https Verschlüsselung der Anmeldung bei amazon.deHändler wie Amazon verschlüsseln daher die Anmeldung, aber diese Zertifikate die der Browser in der Adresszeile grün markiert kosten Geld und daher haben idR. nur Seiten diese Sicherheit die damit auch Geld verdienen.
Es mag nun nicht sehr wichtig erscheinen, ob ein Häkel-Forum verschlüsselt ist, aber mal Hand aufs Herz: Hast Du für jede Webseite eine eigene E-Mail Adresse und Kennwort festgelegt? Oder könnte man mit den Login-Daten des Häkel-Forums auf einen Online-Händler oder Dein E-Mail Postfach zugreifen oder hätte es evtl. einfacher? Vielleicht magst du es auch nicht, wenn ein Scherzkeks unter deinem Namen die anderen Mitglieder im Häkel-Forum beleidigt.

Langer Rede, kurzer Sinn: Verschlüsselung hat Sinn und sollte auch Standard sein. So ein Zertifikat ist aber aufwändig und kostet Geld.
Bisher, denn mit Let’s Encrypt gibt es einfach und kostenlos Zertifikate für jeden.

Let’s Encrypt ist eine neue Zertifizierungsstelle die vorigen Donnerstag in die öffentliche Betaphase gegangen ist. Seit dem Abend kann sich jeder (der Kontrolle über die betreffende Webseite hat) kostenlos ein gültiges Zertifikat generieren lassen.
Let's Encrypt Zertifikat für HomeserverDurch Let’s Encrypt hat nun sogar mein Himbeercomputer, das zigarettenschachtelkleine Serverchen das bei mir am Schreibtisch hängt, ein eigenes SSL Zertifikat. Nicht nur Spielerei, prinzipiell möchte ich auf dem Kästchen meine Kontakte verwalten die sich mein Smartphone über’s Internet synchronisieren kann.
Von Let’s Encrypt gibt es dafür ein Python-Script das im einfachsten Fall sogar alles automatisch erledigt. Man startet es auf dem Server und wenn man Apache oder nginx als Webserver verwendet wird dessen Konfiguration automatisch ausgelesen, die Adressen ermittelt, die Zertifikate angefordert und die Konfiguration entsprechend geändert. Kann man das Script nicht direkt auf dem Server starten gibt es einen manuellen Modus bei dem man Schritt für Schritt angeleitet wird was zu tun ist.
Es ist wie gesagt ein Python-Script und man muss an die Konfiguration des Webservers, ich rechne aber damit, dass es spätestens nach der Beta-Phase für diesen Prozess auch ein einfaches Tool für Windows (vor allem für den manuellen Modus) geben wird — das Tool ist open source und eine Portierung ausdrücklich erwünscht — bzw. die Webhoster es entsprechend anbieten oder standardmässig durchführen.

Für Apache und nginx ist das letsencrypt Script wie gesagt eine rundum-sorglos Lösung, für andere Server muss man manuell noch etwas machen aber auch dafür bietet das Script alles was man benötigt. Unter anderem, weil die Zertifikate nur 90 Tage gültig sind und man sie regelmässig erneuern muss. Das kann und soll man automatisch erledigen lassen. Standardmässig startet es aber in einem dialogbasiertem Assistenten der durch den Vorgang führt.
Auf meinem Raspberry Pi läuft als Webserver momentan der lighttpd und für den gibt es noch keine schlüsselfertige Lösung. Aber kein Problem, ich habe mir auf die Schnelle ein kleines bash-Script geschrieben das den lighttpd beendet, ein neues Zertifikat genereieren lässt, dieses in das passende Format bringt und anschliessend den lighttpd wieder startet.
Das Script lasse ich per cron regelmässig ausführen und muss mich um nichts mehr kümmern:

(geschrieben für Arch Linux, die Pfade und Befehl zum beenden und starten des Dienstes musst du evtl. anpassen)
Es ist primitiv aber funktioniert wink.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Textile-Formatierung erlaubt
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Twitter, Identica, Pavatar, Gravatar, Wavatars, Monster ID Autoren-Bilder werden unterstützt.
Wenn Du Deinen Twitter Namen eingibst wird Deine Timeline in Deinem Kommentar verlinkt.
Bewirb einen Deiner letzten Artikel
Dieses Blog erlaubt Dir mit Deinem Kommentar einen Deiner letzten Artikel zu bewerben. Bitte gib Deine Blog URL als Homepage ein, dann wird eine Auswahl erscheinen, in der Du einen Artikel auswählen kannst. (Javascript erforderlich)
Formular-Optionen