Kostenloses Let’s Encrypt Zertifikat nutzen – Vor- und Nachteile

Home / Webdesign / Kostenloses Let’s Encrypt Zertifikat nutzen – Vor- und Nachteile

Schon in meinem Artikel aus April 2017 „Umstellung einer Website auf https“ erkläre ich, warum die Umstellung einer Website auf https-Verschlüsselung sinnvoll ist. Diejenigen, denen die Kosten dabei ein Dorn im Auge sind, interessieren sich vielleicht für das kostenlose Zertifikat Let’s Encrypt. 

Was ist Let’s Encrypt und was macht es?

Wer seine Website verschlüsseln will, steht vor der Qual der Wahl, denn es gibt zahlreiche verschiedene SSL-Zertifikate und Let’s Encrypt ist eines davon. Solche Zertifikate unterscheiden sich beispielsweise durch die Stärke der Verschlüsselung, die Art der Validierung und noch in vielen anderen Aspekten. Entscheidend für die Wahl des Zertifikates ist sein Einsatzzweck.

Im Prinzip dienen alle SSL-Zertifikate demselben Zweck: Eine sichere Übertragung von Daten im Internet zu gewährleisten. Diese Funktion erfüllt auch ein kostenloses Zertifikat von Let’s Encrypt: Server und Webbrowser tauschen Schlüssel und vergleichen diese. Bei einer Übereinstimmung wird die Kommunikation zwischen ihnen verschlüsselt. In der Adresszeile des Browsers zeigt sich sofort, ob eine Website mit einem SSL-Zertifikat ausgestattet ist, das bei einer Verschlüsselung angezeigte Schloss in der Browserzeile ist mittlerweile recht bekannt.

Let’s Encrypt ist kostenlos, ist es damit schlechter als andere SSL-Zertifikate?

Bevor ein SSL-Zertifikat ausgestellt wird, erfolgt eine Überprüfung (Validierung) der SSL-Zertifikats-Bestellung. Damit wird nachgewiesen, dass man als Besteller des Zertifikates auch der rechtmäßige Eigentümer der zu zertifizierenden Domain ist. So wird verhindert, dass unberechtigte Dritte ein gültiges Zertifikat für eine Domain erhalten. Diese Validierung kann in unterschiedlichen Schritten erfolgen und bringt somit eine mehr oder weniger große Sicherheit mit sich:

1. Domain Validated
Hierbei findet die Authentifizierung ausschließlich per E-Mail statt, es erfolgt keine Identitätsüberprüfung des Antragstellers.
2. Organization Validated
Die Authentifizierung findet durch Prüfung der Domaininhaberschaft des Unternehmens und durch Prüfung der Identität des Antragsstellers statt.
3. Extended Validation
Die Authentifizierung findet durch Prüfung der Domainhaberschaft des Unternehmens statt, durch die Überprüfung der Identität des Antragsstellers sowie dem Check des Handelsregistereintrags und Abgleich der Bankdaten.

Zertifikate mit einer Organisations- oder Extended-Validation zeigen zusätzlich zu dem angezeigten Schloss in der Browserzeile noch eine grüne Adressleiste im Browser. Allerdings sind diese Zertifikate sehr teuer und nicht jeder Nutzer braucht wirklich einen solch starken Schutz.

Wichtig ist zu wissen, dass man bei den verschiedenen Zertifikaten mit unterschiedlicher Sicherheit kommuniziert, was die Identität von den beantragenden Personen und Unternehmen angeht. Die Daten jedoch, die zwischen Browser und Webserver übertragen werden, sind bei allen Zertifikaten immer verschlüsselt.

Möchte man sich für Let’s Encrypt entscheiden, sollte man wissen, dass Let’s Encrypt momentan keine erweiterten Zertifikate für eine Organisationsvalidierung oder Extended-Validierung anbietet.

Im Ergebnis heißt dies, dass mit einem Let’s Encrypt Zertifikat zwar der normale Verschlüsselungshinweis in der Adresszeile verfügbar ist, die so beliebte grüne Adresszeile aber nicht erreichbar ist. Trotzdem findet, wie bereits erwähnt, eine verschlüsselte Übertragung der Daten statt.

Auch soll an dieser Stelle nicht verschwiegen werden, dass es durchaus Sicherheitsexperten gibt, die darauf hinweisen, dass über die Zertifizierungsstelle Let’s Encrypt immer mehr Zertifikate für dubiose Webseiten ausgestellt werden. Näheres dazu finden Sie im Artikel von golem.de – LET’S ENCRYPT: Immer mehr Phishing-Seiten beantragen Zertifikate

Gibt es auch Vorteile bei Let’s Encrypt?

Natürlich gibt es die. Let’s Encrypt-Zertifikate sind kostenlos erhältlich und das Maß an Sicherheit ist so hoch, dass die von Kunden eingegebenen Daten über eine verschlüsselte Verbindung ausgeliefert werden (siehe oben). Darüber hinaus ist es relativ leicht einzubinden. Jeder muss für sich selbst entscheiden, welches Maß an Sicherheit er für seine Website benötigt und dem Nutzer bieten möchte.

Bietet jeder Hoster Let’s Encrypt an?

Nein, nicht jeder Hoster möchte mit Let’s Encrypt zusammenarbeiten. Interessenten müssen also klären, ob ihr Hoster ein solches Zertifikat anbietet oder nicht. In der Regel bieten Hoster, die nicht mit Let’s Encrypt arbeiten, andere Zertifikate als Alternative an. Diese sind zwar meist nicht kostenlos, aber ein Blick auf die Leistungen in Abwägung mit dem, was man tatsächlich an Schutz für die eigene Website benötigt, sollte auch hier Lösungen finden lassen.

 

Comments(0)

Leave a Comment

Bist Du Mensch oder Maschine? *