Lets Encrypt – Erstellen Sie kostenlose SSL-Zertifikate für arme Menschen

Was ist SSL? Was ist Let's Encrypt? Wenn Sie eine Website mit dem Ziel erstellen, Geld zu verdienen, lesen Sie bitte diesen Artikel.

Bevor Sie sich über Let's Encrypt informieren, müssen Sie wissen, was SSL ist, welche Bedeutung es für Websites hat und warum „arme Leute“ immer noch SSL für ihre Websites benötigen.

Konkret: Was ist SSL? Ist SSL für Websites wichtig?

Zu diesem Zeitpunkt verstehen Sie SSL standardmäßig bereits sehr gut und suchen nach kostenlosem SSL für Ihre Website. Es ist also an der Zeit, sich über Let's Encrypt zu informieren.

Was ist Let's Encrypt?

Let's Encrypt ist ein kostenloser, automatisierter SSL-Zertifikatsanbieter, der zum Nutzen der Community arbeitet. Es wird von der Internet Security Research Group (ISRG) verwaltet.

Let's Encrypt stellt Website-Administratoren völlig kostenlos und auf möglichst benutzerfreundliche Weise das digitale Zertifikat zur Verfügung, das sie benötigen, um HTTPS (SSL oder TLS) für ihre Website zu aktivieren. Alles basiert auf dem Ziel, eine sicherere, privatere und respektvollere Webumgebung für Benutzer zu schaffen.

Let's Encrypt stellt ein SSL-Zertifikat zur Domänenvalidierung bereit. Das bedeutet, dass Ihre Website nach der Installation ein blaues Schloss in der Adressleiste des Browsers aufweist, wenn Benutzer darauf zugreifen.

• Welche Arten von SSL-Zertifikaten gibt es?

Vorteile der Verwendung von Let's Encrypt

• Kostenlos: Solange Sie einen Domainnamen besitzen, können Sie mit Let's Encrypt ein vertrauenswürdiges Zertifikat erhalten, ohne einen Cent auszugeben.
• Automatisch: Auf dem Webserver ausgeführte Software kann mit Let's Encrypt interagieren, um schnell Zertifikate abzurufen, sie sicher für die Verwendung zu konfigurieren und sie bei Bedarf automatisch zu ersetzen.
• Sicher: Let's Encrypt wird als Plattform fungieren, die das Beste von TLS fördert, sowohl auf der Seite der CA (Zertifizierungsstelle) als auch dabei, Website-Betreibern dabei zu helfen, ihre Server ordnungsgemäß zu sichern.
• Transparenz: Alle ausgestellten oder widerrufenen Zertifikate werden öffentlich protokolliert und sind für jedermann einsehbar.
• Keine Einschränkungen: Das automatische Ausstellungs- und Erneuerungsprotokoll wird als öffentlicher Standard veröffentlicht und kann von anderen übernommen werden.
• Zusammenarbeit: Wie andere grundlegende Internetprotokolle ist Let's Encrypt bestrebt, der Community zu helfen und steht nicht unter der Kontrolle einer einzelnen Organisation.

Wie generiert Let's Encrypt kostenlose SSL-Zertifikate?

Das Ziel von Let's Encrypt und dem ACME-Protokoll besteht darin, einen HTTPS-Server einzurichten und diesen ohne menschliches Eingreifen automatisch ein vertrauenswürdiges Zertifikat im Browser zu erhalten. Dies geschieht durch die Ausführung eines Zertifikatsmanagers auf dem Webserver.

Um zu verstehen, wie die Let's Encrypt-Technologie funktioniert, gehen wir den Prozess der Einrichtung einer Website https://example.com/ mit einem Zertifikatsmanager durch, der Let's Encrypt unterstützt.

Dieser Prozess besteht aus zwei Schritten. Zunächst weist der Manager gegenüber der Zertifizierungsstelle nach, dass der Webserver einen Domänennamen kontrolliert. Der Manager kann dann das Zertifikat für diese Domäne anfordern, erneuern oder widerrufen.

Domainnamen bestätigen:

Let's Encrypt identifiziert die Serververwaltung mit einem öffentlichen Schlüssel. Wenn die Verwaltungssoftware zum ersten Mal mit Let's Encrypt interagiert, generiert sie ein neues Schlüsselpaar und weist der Let's Encrypt-CA nach, dass der Server die Kontrolle über eine oder mehrere Domänen hat. Dies ähnelt dem herkömmlichen CA-Prozess, bei dem ein Konto erstellt und diesem Konto ein Domänenname hinzugefügt wird.

Um diesen Prozess einzuleiten, fragt der Manager die Let's Encrypt-Zertifizierungsstelle nach den erforderlichen Informationen, um nachzuweisen, dass sie example.com kontrolliert. Let's Encrypt prüft und stellt Anfragen. Sie müssen diese ausfüllen, um nachzuweisen, dass Sie die Kontrolle über den Domainnamen haben. Sie haben zwei Möglichkeiten:

• Geben Sie einen DNS-Eintrag unter dem Namen example.com an
• Geben Sie die HTTP-Quelle unter einer bekannten URL auf https://example.com/ an.

Nach Erfüllung der Anforderungen stellt Let's Encrypt dem Zertifikatsmanager ein privates Schlüsselpaar zur Verfügung, um zu beweisen, dass es die Kontrolle über das Schlüsselpaar hat.

Zu diesem Zeitpunkt platziert der Manager eine Datei in dem auf der Website https://example.com angegebenen Pfad. Der Manager signiert außerdem einen privaten Schlüssel, der der Zertifizierungsstelle nach Abschluss mitteilt, dass die Validierung abgeschlossen ist.

Die nächste Aufgabe der CA besteht darin, zu prüfen, ob die vorgegebenen Anforderungen erfüllt sind oder nicht. Die Zertifizierungsstelle überprüft die Signatur, versucht, die Datei vom Webserver herunterzuladen und stellt sicher, dass sie den gewünschten Inhalt erhält.

Wenn die Signatur gültig ist, sind die Anforderungen erfüllt und der durch den öffentlichen Schlüssel identifizierte Manager ist berechtigt, als Zertifikatsmanager für example.com zu fungieren. Das Schlüsselpaar, das der Manager für example.com verwendet, wird als „autorisiertes Schlüsselpaar“ bezeichnet.

Ausstellung und Widerruf von Zertifikaten

Sobald der Manager über das „autorisierte Schlüsselpaar“ verfügt, ist das Anfordern, Erneuern und Widerrufen des SSL-Zertifikats ein Kinderspiel. Senden Sie einfach die Zertifikatsverwaltungsnachricht und signieren Sie mit dem autorisierten Schlüsselpaar.

Um ein Zertifikat für die Domäne zu erhalten, generiert der Manager eine PKCS#10-Zertifikatsignierungsanforderung, die die Let's Encrypt-Zertifizierungsstelle auffordert, ein Zertifikat für example.com mit einem angegebenen öffentlichen Schlüssel auszustellen. Wie üblich enthält der CSR eine Signatur mit dem privaten Schlüssel, der dem öffentlichen Schlüssel im CSR entspricht. Der Manager signiert außerdem die CSR mit dem Autorisierungsschlüssel für example.com, sodass Let's Encrypt CA weiß, dass sie autorisiert wurde.

Wenn Let's Encrypt CA die Anfrage erhält, überprüft sie beide Signaturen. Wenn alles gut aussieht, wird ein Zertifikat mit dem öffentlichen Schlüssel des CSR an example.com ausgestellt und an den Manager zurückgegeben.

Die Sperrung von Zertifikaten funktioniert auf ähnliche Weise. Der Manager signiert die Widerrufsanforderung mit dem Autorisierungsschlüsselpaar für example.com und Let's Encrypt CA überprüft, ob die Anforderung tatsächlich autorisiert wurde. Anschließend exportiert es die Zertifikatssperrinformationen in die üblichen Sperrkanäle (wie CRL, OCSP) und verlässt sich dabei auf Dritte, wie Browser, damit diese das gesperrte Zertifikat nicht akzeptieren.

SSL-Zertifikatsverwaltungssoftware auf Windows-Servern – Certify

Let's Encrypt ist ein kostenloser Dienst zum Erstellen eines vertrauenswürdigen SSL-Zertifikats für Ihre Domain, die meisten Tools sind jedoch nur über die Befehlszeile verfügbar. Wenn Sie einen Windows-Server verwenden, installieren Sie bitte Certify. Diese Software bietet eine einfache Benutzeroberfläche zur Verwaltung von SSL-Zertifikaten. Aktivieren Sie einfach Certify auf Ihrem IIS-Webserver, um loszulegen.

Laden Sie Certify kostenlos herunter

Hauptmerkmale von Certify:

• Einfach zu installieren
• Erstellen Sie ganz einfach Zertifikatsanträge, autorisieren und erneuern Sie neue Zertifikate
• Verwalten Sie Zertifikate und zugehörige Informationen
• Mit der IIS-Sperrfunktion können Sie SSL-Best Practices zum Deaktivieren unsicherer Protokolle und Verschlüsselungen ganz einfach nachverfolgen.

Hoffentlich sind die Informationen in diesem Artikel sowohl für diejenigen nützlich, die Websites erstellen, um mehr Einkommen zu erzielen, als auch für andere Website-Administratoren.

Darüber hinaus können Sie sich beziehen auf:

• Wie hoste ich mit IIS 8 SNI verschiedene SSLs auf einer IP-Adresse?
• Wie kann ich die Details des SSL-Zertifikats im Chrome-Browser anzeigen?