de:letsencrypt

An dieser Stelle haben wir die wichtigsten Informationen sowie häufige Fragen und Antworten zu Let's Encrypt für Sie zusammengestellt:

Let's Encrypt - Allgemein

  • Was ist Let's Encrypt?
    Let's Encrypt ist eine Zertifizierungsstelle (Certificate Authority, kurz CA), welche kostenlos domain-validierte SSL-Zertifikate ausstellt.
  • Welche Browser akzeptieren Let's Encrypt SSL-Zertifikate?
    Let's Encrypt hat zwar ein eigenes CA-Zertifikat, das wird derzeit aber noch nicht von allen Browsern erkannt. Allerdings ist deren CA-Zertifikat von „IdenTrust“ unterschrieben („cross-signed“). Daher akzeptieren alle großen Browser die Let's Encrypt SSL-Zertifikate ohne Warnmeldung. Eine Test-Seite finden Sie unter https://helloworld.letsencrypt.org.
  • Warum sind die Zertifikate kostenlos?
    Hinter Let's Encrypt steht eine gemeinnützige Einrichtung, die ISRG (Internet Security Research Group). Diese wird u.a. unterstützt von Mozilla, Akamai, Cisco, der EFF u.v.m. Da die Zertifikate vollautomatisch ausgestellt werden (so wie das eigentlich bei allen domain-validierten Zertifikaten der Fall ist), entstehen keine nennenswerten Kosten. Allerdings gibt es auch keinen direkten Support durch diese CA.
  • Was sind domain-validierte SSL-Zertifikate?
    Bei domain-validierten SSL-Zertifikaten wird lediglich überprüft, ob der „Antragsteller“ auch tatsächlich im Besitz der Domain ist. Das Zertifikat enthält keinerlei Informationen über den Antragsteller selbst, sondern nur über die bestätigte Domain. Die SSL-Zertifikate für eine „grüne Adresszeile“ im Browser sind sogenannte EV-Zertifikate (Extended Validation), bei der auch der Besitzer überprüft und bestätigt wird. Diese kosten - je nach Anbieter - zwischen 10 und 400 Euro pro Jahr.
  • Sind Let's Encrypt-Zertifikate unsicherer als andere SSL-Zertifikate?
    Die Verschlüsselung wird ausschließlich serverseitig konfiguriert, das Zertifikat hat keinen Einfluss darauf. Ein Zertifikat „verschlüsselt“ auch nicht - es dient lediglich der Authentifizierung des Gegenübers. Aussagen wie „Zertifikat mit 128Bit-Verschlüsselung“ o.ä. sind völliger Quatsch.
    Let's Encrypt-Zertifikate sind mit SHA256 signiert und können beliebige RSA-Schlüssel mit mind. 2048 Bit nutzen.
  • Wie lange sind Let's Encrypt SSL-Zertifikate gültig?
    Die Zertifikate haben eine Gültigkeit von 90 Tagen. LiveConfig beginnt aber schon nach 60 Tagen mit der automatischen Erneuerung - sollte irgendwas schief gehen bleibt somit noch genügend Zeit notfalls manuell einzugreifen.
    Da der komplette Prozess von der Beantragung über die Prüfung bis zur Ausstellung von Zertifikaten voll automatisiert ist, stellt die kurze Gültigkeit keinen Nachteil dar.
  • Kann man Wildcard-Zertifikate (*.example.org) beantragen?
    Let's Encrypt unterstützt Wildcard-Zertifikate voraussichtlich ab Q2/2018. Allerdings ist hierfür eine Domainvalidierung über DNS erforderlich, was in LiveConfig aktuell noch nicht implementiert ist. Wir werden darüber informieren, sobald LiveConfig das auch unterstützt.
    In den allermeisten Anwendungsfällen ist ein Wildcard-Zertifikat aber ohnehin nicht erforderlich, einzelne Zertifikate pro Subdomain sind im Prinzip sogar sicherer.

LiveConfig & Let's Encrypt

  • Welche LiveConfig-Versionen unterstützen Let's Encrypt?
    Sie können Let's Encrypt mit der Standard- und mit der Business-Lizenz ab LiveConfig v2.0.0 nutzen. LiveConfig Basic unterstützt derzeit kein Let's Encrypt über die Oberfläche (theoretisch können Sie da den Kommandozeilen-Client von LE verwenden).
  • Welche Limitierungen gibt es?
    Es gibt derzeit zwei wichtige Limits:
  • Registrierungen pro IP
    Pro IP-Adresse dürfen derzeit nur 10 Registrierungen pro 3 Stunden erfolgen. Bei LiveConfig reicht es, einmal eine einzige Registrierung durchzuführen (also einen ACME-Account anzulegen), mit diesem können dann beliebig viele SSL-Zertifikate verwaltet werden (auch in Multi-Server-Umgebungen). Eine Registrierung ist zudem zeitlich unbegrenzt gültig.
  • Zertifikate pro Domain
    Derzeit dürfen pro 7 Tage maximal 5 Zertifikate für die selbe Domain ausgestellt werden. Dabei zählen auch Subdomains zu der selben Domain!
    Beispiel: wenn Sie im Laufe der Zeit für folgende Domains SSL-Zertifikate beantragen, dann zählt das am Ende als 4 Zertifikate für die Domain example.org:
    • example.org und www.example.org
    • office.example.org
    • www.example.org
    • example.org
de/letsencrypt.txt · Zuletzt geändert: 2018/03/05 21:36 von wikiadmin

Benutzer-Werkzeuge