Let's Encrypt hat eine Milliarde Zertifikate ausgestellt

Am 27. Februar 2020 hat eine kostenlose Zertifizierungsstelle von Let's Encrypt ein milliardstes Zertifikat ausgestellt .

In einer festlichen Pressemitteilung erinnern Projektvertreter daran, dass im Juni 2017 das bisherige Jubiläum von 100 Millionen ausgestellten Zertifikaten gefeiert wurde . Dann betrug der Anteil des HTTPS-Verkehrs im Internet 58% (in den USA - 64%). In zweieinhalb Jahren sind die Indikatoren erheblich gewachsen: „Heute verwenden 81% der herunterladbaren Seiten weltweit HTTPS, und in den USA sind es 91%! - Die Jungs vom Projekt freuen sich. - Eine unglaubliche Leistung. Dies ist ein viel höheres Maß an Privatsphäre und Sicherheit für alle. “

Let's Encrypt spielte eine sehr wichtige Rolle dabei, HTTPS-Zertifikate zu einem nützlichen Standard und einer zuverlässigen Verkehrsverschlüsselung zu machen - dem perfekten Standard im Internet.

Der Beta-Test der innovativen Zertifizierungsstelle Let's Encrypt begann im Dezember 2015. Ein einzigartiges Merkmal des neuen Zentrums war, dass der Prozess der Ausstellung von Zertifikaten zunächst vollständig automatisiert war.

Die automatische Konfiguration von HTTPS auf dem Server erfolgt in zwei Schritten. In der ersten Phase benachrichtigt der Agent die Zertifizierungsstelle über die Serveradministratorrechte für den Domänennamen. Eine Prüfung kann beispielsweise das Erstellen einer bestimmten Unterdomäne oder das Installieren einer HTTP-Ressource mit einem bestimmten URI innerhalb der Domäne umfassen.



Let's Encrypt identifiziert den Webserver mit dem Agenten, der vom öffentlichen Schlüssel ausgeführt wird. Die öffentlichen und privaten Schlüssel werden vom Agenten vor der ersten Verbindung zu einer Zertifizierungsstelle generiert. Während der automatischen Überprüfung führt der Agent eine Reihe von Tests durch: Beispielsweise signiert er das Einmalkennwort mit dem öffentlichen Schlüssel und präsentiert eine HTTP-Ressource mit einem bestimmten URI. Wenn die digitale Signatur korrekt ist und alle Tests bestanden wurden, erhält der Agent Rechte zum Verwalten von Zertifikaten für die Domäne.



In einem zweiten Schritt kann ein Agent Zertifikate anfordern, erneuern und widerrufen. Für die automatische Ausstellung von Zertifikaten wird ein Challenge-Response-Authentifizierungsprotokoll (Call-Response, Call-Response) verwendet, das als Automated Certificate Management Environment (ACME) bezeichnet wird. Alle Zertifikatmanipulationen werden ausgeführt, ohne den Webserver mit dem Certbot ACME-Client anzuhalten . Es ist einfach zu bedienen, funktioniert auf den meisten Betriebssystemen und ist gut dokumentiert. Es gibt einen Expertenmodus mit erweiterten Einstellungen. Neben Certbot gibt es viele andere ACME-Clients .

Die wichtige Rolle von Let's Encrypt

Let's Encrypt hat einen Markt revolutioniert, in dem kommerzielle Zertifizierungsstellen dominierten. Jetzt sind sie praktisch nicht mehr in der Lage, DV-Zertifikate (Domain Validation Certificates, Domain Validation) auszustellen, obwohl sie weiterhin Organisationsbestätigungszertifikate (Organization Validation, OV) und hochzuverlässige Zertifikate (Extended Validation, EV) verkaufen, die Let's Encrypt nicht ausstellt. weil sie nicht automatisiert werden können. Dies ist jedoch ein Nischenprodukt, und kostenlose Let's Encrypt-Zertifikate stehen auf dem Massenmarkt an erster Stelle.

Let's Encrypt hat die automatische Neuausstellung von Zertifikaten zum Standard gemacht. Trotz ihrer kurzen Lebensdauer (90 Tage) beseitigt das automatische Verfahren den „menschlichen Faktor“, der traditionell die größte Sicherheitslücke darstellt. Domänenadministratoren vergessen häufig einfach, ihre Zertifikate zu erneuern, weshalb Dienste fehlschlagen. Der letzte derartige Vorfall ereignete sich bei Microsoft Teams. Am 3. Februar 2020 wurde dieser Kollaborationsdienst aufgrund eines abgelaufenen Zertifikats offline geschaltet .

Durch den automatischen Austausch von Zertifikaten über ACME wird die Möglichkeit solcher Vorfälle ausgeschlossen.

Obwohl das Let's Encrypt-Projekt die Hälfte des Internets bedient, handelt es sich um eine kleine gemeinnützige Organisation in der physischen Welt: „In den letzten zweieinhalb Jahren ist unsere Organisation gewachsen, aber nicht so sehr! Sie schreiben. - Im Juni 2017 haben wir rund 46 Millionen Websites mit 11 Vollzeitbeschäftigten und einem Jahresbudget von 2,61 Millionen US-Dollar betreut. Heute betreuen wir fast 192 Millionen Websites mit 13 Vollzeitbeschäftigten und einem Jahresbudget von rund 3,35 Millionen US-Dollar. Dies bedeutet, dass wir mehr als viermal so viele Standorte mit nur zwei zusätzlichen Mitarbeitern und einer Erhöhung des Budgets um 28 Prozent bedienen. “

Die Projektunterstützung erfolgt durch Spenden und Sponsoring .

Bis heute ist HTTPS zum De-facto-Standard im Internet geworden. Seit letztem Jahr warnen große Browser Benutzer vor den Gefahren einer Verbindung zu Websites, die den Datenverkehr über HTTPS nicht verschlüsseln. Das Verdienst von Let's Encrypt ist eine solche Änderung in der Sicherheitslandschaft.

Für alles andere hat Let's Encrypt die Infrastruktur öffentlicher XMPP-Server buchstäblich wiederbelebt . Jetzt arbeitet Jabber sowohl auf Client-Server- als auch auf Server-Server-Ebene mit starker Verschlüsselung, und die absolute Mehrheit der Zertifikate wurde von Let's Encrypt ausgestellt.



"Als Community haben wir unglaubliche Dinge getan, um die Menschen im Internet zu schützen", heißt es in der Pressemitteilung . "Die Ausstellung von einer Milliarde Zertifikaten ist eine Bestätigung aller Fortschritte, die wir als Gemeinschaft erzielt haben."