Let's Encrypt: Meilenstein zu kostenlosen SSL-Zertifikaten fĂĽr alle

Die alternative SSL-Zertifizierungstelle Let's Encrypt hat nun SSL-SchlĂĽssel fĂĽr ihre Root- und Zwischen-Zertifikate erzeugt. Das unter anderem von Mozilla und der EFF gestartete Projekt soll ab Sommer 2015 kostenlose SSL-Serverzertifikate verteilen.

In Pocket speichern vorlesen Druckansicht 134 Kommentare lesen
Let's Encrypt: Meilenstein zu kostenlosen SSL-Zertifikaten fĂĽr alle
Lesezeit: 2 Min.
Von
  • Reiko Kaps

Die von Mozilla, der EFF und anderen Organisationen Ende vergangenen Jahres ins Leben gerufene SSL-Zertifizierungsstelle Let's Encrypt hat die für die Ausstellung von Serverzertifikaten nötigen Schlüsselpaare für Root-und Zwischenzertifikate erzeugt. Das verkündete Josh Aas, Executive Director bei der Internet Security Research Group (ISRG), im Blog des Projekts.

Let's Encrypt will SSL/TLS-Zertifikate kostenlos für alle Server-Betreiber bereitstellen, die den Abruf ihrer Webseiten verschlüsseln wollen. Dafür sollen zwei Linux-Befehle reichen – man fordert damit ein signiertes Server-Zertifikat an und schaltet es umgehend live.

Let's Encrypt unterschreibt Server-Zertifikate über seine Intermediate-CA, die zusätzlich von der Root-CA Identrust signiert wurde.

(Bild: Let's Encrypt)

Die Server-Zertifikate werde Let’s Encrypt über zwei Zwischen-CAs unterschreiben, erklärt Aas. Die Root-Certificate-Authority soll offline bleiben. Damit alle gängigen Browser und Betriebssysteme diese Zwischen-Zertifikate akzeptieren, werden sie zusätzlich von der Zertifizierungsstelle IdenTrust unterschrieben (cross-sign). Die von Banken ins Leben gerufene IdenTrust unterstützt Let's Encrypt als Sponsor.

Im Normalfall werden die Server-Zertifikate von der Zwischen-CA "Let’s Encrypt Intermediate X1" unterschrieben, erklärt Aas das Verfahren. Die zweite Zwischen-CA namens "Let’s Encrypt Intermediate X2" werde nur dann eingesetzt, wenn Let's Encrypt nicht mehr mittels "Let’s Encrypt Intermediate X1" unterschreiben könne – etwa bei Fehlersituationen.

Die privaten Root-CA-Schlüssel der ISRG sowie der beiden Zwischen-CAs lagern in Hardware Security Modules (HSMs), die ein hohes Maß an Diebstahlschutz für die Schlüssel versprechen, erklärt Josh Aas weiter. Alle ISRG-Schlüssel seien derzeit RSA-Schlüssel. Im Laufe des Jahres wolle man aber CA-Schlüssel per ECDSA-Algorithmus erzeugen. Weitere Schritte auf dem Weg zur einer funktionierenden Zertifizierungsstelle will Lets Encrypt in wenigen Wochen bekannt geben. (rek)