Let’s Encrypt ¶

Das Projekt “Let’s Encrypt” hat zum Ziel, dass alle Web-Seiten und sämtlicher Internet-Traffic nur noch in verschlüsselter Form (per TLS-Protokoll) übertragen werden.

• Früher waren die dafür benötigten Zertifikate recht teuer und konnten zusammen mit einer DNS-Domäne gekauft werden. (Achtung: ABO-Modell!)
• Es gibt aber DynDNS-Provider, die einer Hobby-Seite Zugang zu einer kostenlosen DNS-Domäne ermöglichen. Und seit es “Let’s Encrypt” gibt (also seit 2015), werden auch die dazu passenden X.509-Zertifikate kostenlos ausgestellt.

Zur Überprüfung, dass ein Webseiten-Betreiber tatsächlich die Kontrolle über den FQDN der Webseite hat, wurde das ACME-Protokoll eingeführt, welches “Domain-Validation” DV benutzt:

1. Auf Anfrage durch den ACME-Client erzeugt der ACME-Server eine zufällige Information, die der Client auf einer speziellen HTTP-Unterseite der Webseite (oder als TXT-Record im DNS-System) veröffentlicht.
2. Im nächsten Schritt überprüft der ACME-Server die HTTP-Unterseite (oder den TXT-Record). Falls dort die gleiche Zufallsinformation gefunden wird, die er vorher dem ACME-Client gesendet hat, kann er davon ausgehen, daß der Client echt ist. Mit anderen Worten: die Domäne ist validiert.
3. Zum Schluss stellt der ACME-Server ein zeitlich befristetes Zertifikat (meist 90 Tage) für die DNS-Domäne des ACME-Clients aus, welches für die Übertragung der per TLS verschlüsselten HTTPS-Seiten des Web-Servers genutzt wird.
4. Vor Ablauf der Frist muss sich der ACME-Client wieder an den ACME-Server wenden und um die Zertifikats-Verlängerung (d.h. Austellung eines ‘frischen’ Zertifikats) bitten.

• Laut “Heise”-Newsticker arbeitet “Let’s Encrypt” an der Verkürzung der Zertifkats-Gültigkeit von 90 auf 6 Tage.
• Die Trump-Regierung stoppt die Förderung von Open-Source-Projekten, wie “Let’s Encrypt”, “TOR” und “F-Droid”.